Académique Documents
Professionnel Documents
Culture Documents
COMPOSITION DU JURY :
M. Gilles Dusserre
Mines d'Alès, Rapporteur
M. Karim Hardy
Embry-Riddle Aeronautical University,
Examinateur
M. Ali Jaber,
Université du Liban, Examinateur
REMERCIEMENTS
1
personnel de l’entreprise et les services de l’État en charge de l’inspection. Elle
concerne enfin la formation des ingénieurs car elle favorise par la modélisation et la
simulation, une meilleure connaissance des dimensions tant techniques, humaines
qu’organisationnelles du système industriel considéré.
Plus globalement, l’ambition de la thèse est de contribuer à une série
d’expérimentations conduites au sein du CRC depuis 2007, en partenariat étroit avec
l’équipe de Nancy Leveson, et ce à la suite des thèses de Karim Hardy, sur la mise en
œuvre de STAMP dans le domaine du traitement des déchets (soutenue en 2010), de
Jaleh Samadi, sur les risques du stockage et du captage du CO2 (soutenue en 2012) et
de Stéphanie Alvarez, sur les risques liés aux véhicules autonomes (thèse en cours,
soutenance prévu en juin 2017). Il s’agit d’évaluer les applications possibles de STAMP
à des domaines industriels non encore traités par les collègues du MIT ou d’autres
membres de réseau international STAMP, ici les risques liés à l’exploitation du GPL.1
L’originalité de cette thèse réside aussi dans l’intégration des résultats de la mise
en œuvre de STAMP au sein d’une plateforme logicielle de simulation : Anylogic. Cette
plateforme permet de mettre en œuvre des modèles de simulation selon trois approches
(évènements discrets – dynamique des systèmes - multi-agents). Il s’agit là d’un apport
très important à l’analyse des risques car le recours à la simulation permet de prendre en
compte le rapport au temps.
1
Une expérimentation a aussi été conduite par la mise en œuvre de STAMP et de son module d’analyse
d’accident CAST sur le retour d’expérience d’un accident dans le secteur du pétrole en mer. L’analyse est
présentée en annexe de cette thèse.
2
composants, les perturbations extérieures, ou que les interactions indésirables et
dangereuses entre les composants du système ne sont pas adéquatement traitées, c'est-à-
dire contrôlées, conduisant de fait à un comportement dangereux.
Le troisième chapitre présente le système industriel retenu dans le cadre de la
thèse. Il s’agit d’un site de stockage/distribution de GPL. Ce site est une installation
classée pour la protection de l’environnement soumis à autorisation avec servitude
d’utilité publique pour fonctionner. Dans ce chapitre, l’ensemble des moyens de
prévention et de protection sont décrits selon une vue pédagogique afin de présenter la
démarche d’analyse des risques d’un système industriel selon le modèle STAMP.
Le chapitre 4 détaille la problématique industrielle et la contribution de STAMP
dans l’approche d’analyse des risques inhérents à l’activité. L’application de STAMP
met en exergue les notions de contrainte, de structure hiérarchique et de modèles de
processus (boucles de contrôle). L’objectif de cette application est d’établir une stratégie
globale d’évaluation de la sécurité et la formulation des recommandations pour réduire
les vulnérabilités.
Le chapitre 5 décrit le « couplage » entre STAMP et une plateforme logicielle de
simulation : Anylogic. Les données préalablement acquises et modélisées sont reprises
afin de conduire une série de simulations en considérant le fonctionnement du site en
mode normal puis en mode dégradé. Le couplage des résultats de l’analyse des risques
avec la plateforme de simulation permet ensuite d’évaluer les dangers et de proposer des
pistes concrètes pour la prévention.
3
4
TABLE DES MATIERES
5
3.1.3 L’approche probabiliste d’analyse des risques et de prévention des
accidents représente des limites ......................................................................... 61
3.1.4 L’environnement de travail influence le comportement de l’opérateur .... 61
3.1.5 La présence des systèmes automatisés fiables de contrôle du processus
n’est pas suffisant pour maîtriser la sécurité ....................................................... 62
3.1.6 La migration du système vers un état accidentel peut être anticipée par un
travail de conception approprié au système ........................................................ 62
4. Le concept STAMP ................................................................................................ 64
4.1 Conception des lois de contrôle (contraintes de sécurité)................................. 64
4.2 Modélisation de la structure hiérarchique ......................................................... 65
4.3 Les modèles de contrôle des processus............................................................. 66
5. Classification factorielle des accidents selon STAMP ........................................... 69
5.1 Le fonctionnement du système de contrôle ...................................................... 70
5.1.1 Des données d’entrées dangereuses ........................................................... 71
5.1.2 Algorithme de contrôle non fiable ............................................................. 71
5.1.3 Les actionneurs et les processus contrôlés ................................................. 71
5.1.4 Coordination et communication entre contrôleurs et décideurs ................ 72
5.1.5 Contexte et environnement ........................................................................ 72
6. Les outils de STAMP .............................................................................................. 72
6.1 STPA ................................................................................................................. 72
6.1.1 Phase Statique ............................................................................................ 74
6.1.2 Phase dynamique ....................................................................................... 74
6.1.3 Finalité de STPA :...................................................................................... 74
6.2 Le modèle CAST (Causal Analysis Based on System Theory) ........................ 75
6.3 Le logiciel XSTAMPP ...................................................................................... 77
6.4 STPA tools ........................................................................................................ 77
6.5 SafetyHAT ........................................................................................................ 78
6.6 ASTPA .............................................................................................................. 79
7. Conclusion .............................................................................................................. 80
CHAPITRE 3: Presentation du systeme d’etude ............................................................ 81
1. Situation règlementaire ........................................................................................... 82
1.1 Organisation en matière de prévention des risques majeurs ............................. 85
1.1.1 Politique de prévention des accidents majeurs .......................................... 85
1.1.2 Système de gestion de la sécurité (SGS) ................................................... 85
1.1.3 Plan d’opération interne ............................................................................. 86
1.1.4 Plan Particulier d’Intervention (PPI) ......................................................... 86
2. Présentation de l’installation technique .................................................................. 87
2.1 Réservoir sous-talus de propane ....................................................................... 89
2.1.1 Dimension .................................................................................................. 89
2.1.2 Pressions .................................................................................................... 90
2.1.3 Equipements d’exploitation et de sécurité ................................................. 90
2.2 Pomperie ........................................................................................................... 91
2.3 Canalisation ...................................................................................................... 92
2.4 Postes de transfert ............................................................................................. 93
2.4.1 Le poste chargement / déchargement ......................................................... 93
2.4.2 Les deux postes de chargement ................................................................. 94
2.4.3 Les équipements de transfert ..................................................................... 94
3. Description des opérations de transfert ................................................................... 95
6
3.1 Procédure de transfert du site............................................................................ 96
3.2 Identification et déroulement de l’activité de transfert ..................................... 97
3.2.1 Cas opération de chargement ..................................................................... 97
3.2.2 Cas opération de déchargement ................................................................. 98
3.3 Méthode de calcul du poids à charger .............................................................. 99
4. Les dispositifs de sécurité ....................................................................................... 99
4.1 Arrêts d’urgence (Boutons poussoirs) ............................................................ 101
4.2 Les Détecteurs gaz .......................................................................................... 102
4.2.1 Principe de contrôle du système de détection de gaz............................... 102
4.2.2 Traitement du signal ................................................................................ 103
4.2.3 Les électrovannes ..................................................................................... 103
4.2.4 Les actionneurs ........................................................................................ 103
4.2.5 Les vannes................................................................................................ 103
4.2.6 Les caplets internes .................................................................................. 103
4.3 Les détecteurs de flammes .............................................................................. 107
4.3.1 Principe de contrôle du système de détection de flamme ........................ 107
4.3.2 Traitement du signal ................................................................................ 107
4.3.3 Arrosage ................................................................................................... 108
4.3.4 Les conséquences suite à la détection de flamme .................................... 108
4.4 Alarmes techniques du réservoir sous-talus.................................................... 109
5. Conclusion ............................................................................................................ 111
CHAPITRE 4: Demarche de modelisation STPA ........................................................ 113
1. Explication brève de la démarche STPA .............................................................. 113
1.1 Identification des accidents ............................................................................. 113
1.1.1 Délimitation du cadre du système d’étude ............................................... 114
1.2 Identification des dangers ............................................................................... 116
1.3 La structure de contrôle organisationnel (hiérarchique) ................................. 116
1.4 Identification des dangers sur les instructions contrôles-commandes du système
(étape 1) ................................................................................................................ 119
1.4.1 La méthode simplifiée ............................................................................. 119
1.4.2 Méthode dite systématique ...................................................................... 120
1.5 Énoncer les exigences et les contraintes de sécurité ....................................... 122
1.5.1 L’action commandée fournie par le contrôleur ou le système de contrôle
est dangereuse ................................................................................................... 124
1.5.2 L’action commandée fournie est appropriée et requise, cependant elle n’est
pas appliquée ou exécutée correctement ........................................................... 124
1.6 Développer des recommandations à partir des causes identifiées .................. 124
1.7 Evaluer les composants de la structure hiérarchique ...................................... 125
2. L’étude de cas ....................................................................................................... 125
2.1.1 Le phénomène UVCE .............................................................................. 129
2.1.2 Le phénomène BLEVE ............................................................................ 130
2.2 Les accidents considérés dans cette étude de cas ........................................... 131
2.3 Les dangers du système d’étude ..................................................................... 131
2.4 La structure organisationnelle de contrôle de la sécurité ................................ 132
2.4.1 Structure générale de contrôle de la sécurité de l’installation ................. 133
2.4.2 Exemple de la structure de contrôle de la sécurité de l’installation
technique ........................................................................................................... 134
2.5 Les variables du processus contrôlé................................................................ 135
7
2.5.1 Associer une action commandée à chaque variable................................. 137
2.6 Les actions dangereuses déclenchées par commande (étape 1) ...................... 138
2.6.1 Cas où l’action commandée est générée par le système de contrôle ....... 139
2.6.2 Cas où le système ne génère pas la fermeture de la vanne (par commande)
.......................................................................................................................... 143
2.7 Assigner les contraintes de sécurité aux actions dangereuses avec STPA ..... 144
2.8 Etude des causes des actions dangereuses (étape 2) ....................................... 145
2.8.1 Analyse des causes de l’AD (Action Dangereuse) .................................. 146
2.8.2 Les causes relatives aux actions déclenchées (par commande) et non
exécutées ........................................................................................................... 147
3. Conclusion et discussions des résultats ................................................................ 148
CHAPITRE 5: Modele de simulation ........................................................................... 151
1.1 Étapes de modélisation et de simulation ......................................................... 151
1.1.1 La formulation du problème .................................................................... 153
1.1.2 Objectifs et organisation .......................................................................... 153
1.1.3 Modélisation ............................................................................................ 154
1.1.4 Exécution de la simulation ....................................................................... 154
2. L’outil de modélisation et de simulation AnyLogic ............................................. 155
2.1 L’approche par la dynamique des systèmes ................................................... 155
2.2 L’approche par les systèmes multi-agents ...................................................... 156
2.3 L’approche par événement discret .................................................................. 158
2.3.1 Initialisation de la réplique ...................................................................... 159
2.3.2 Gestion des entités ................................................................................... 159
2.3.3 Gestion des évènements ........................................................................... 160
2.3.4 Les files d’attente ..................................................................................... 160
3. Modélisation multi-paradigmes de la sécurité d’un site industriel ....................... 161
3.1 Agent Chauffeur ............................................................................................. 162
3.2 Agent « GrosPorteurs »................................................................................... 166
3.3 La classe Main ................................................................................................ 167
3.3.1 Les objets utilisés pour la modélisation en système à événement discret
SED dans l’interface main ................................................................................ 169
3.3.2 Alertes sur les réservoirs .......................................................................... 175
3.3.3 Les différents modes de contrôle des opérations ..................................... 177
3.4 L’agent Pompiste ............................................................................................ 179
3.4.1 Les composants de l’actionchart .............................................................. 182
3.5 Poste de déchargement.................................................................................... 182
3.5.1 Procédure de transfert .............................................................................. 184
3.5.2 Compilation du modèle au poste de déchargement ................................. 190
4. Conclusion du chapitre ......................................................................................... 192
Conclusions et perspectives .......................................................................................... 195
Annexe .......................................................................................................................... 199
Références ..................................................................................................................... 211
8
LISTE DES FIGURES
Figure 1-1 Évolution de la pensée dans l’approche de l’analyse des risques et prévention
des accidents (Groeneweg, 2002) ................................................................................... 20
Figure 1-2 L’accident un événement dans une chaîne séquentiel ordonnée ................... 26
Figure 1-3 Modèle conceptuel évènementiel, séquentiel et conditionnel (Qureshi, 2007)
........................................................................................................................................ 29
Figure 1-4 Intégration d’une chaîne séquentielle dans le modèle conceptuel de Reason
(Qureshi, 2007) ............................................................................................................... 32
Figure 1-5 Types de facteurs systémiques (Leveson, 2011) .......................................... 43
Figure 1-6 : Cadre de Rasmussen (Hardy, 2011a; Leveson, 2011) ................................ 44
Figure 2-1 Degré de complexité (Leveson, 2011) .......................................................... 53
Figure 2-2 Structure hiérarchique (Hardy, 2010; Leveson, 2011) .................................. 66
Figure 2-3 Boucle de contrôle ........................................................................................ 68
Figure 2-4 Classification des causes de l’accident selon STAMP.................................. 69
Figure 2-5 Les causes des problèmes de manque de contrôle ........................................ 70
Figure 2-6 Interface du logiciel STPA tool .................................................................... 78
Figure 2-7 Interface principale du logiciel SafetyHAT .................................................. 79
Figure 2-8 Interface du logiciel XSTAMPP pour une étude STPA ............................... 80
Figure 3-1 Installations et servitudes techniques ............................................................ 88
Figure 3-2 Réservoir sous talus de propane .................................................................... 89
Figure 3-3 Compresseur ballon....................................................................................... 91
Figure 3-4 les pompes ..................................................................................................... 92
Figure 3-5 Présentation des deux phases de déchargement des camions gros Porteurs . 96
Figure 3-6 La chaîne de détection de gaz ..................................................................... 104
Figure 3-7 Implantation détecteurs ............................................................................... 105
Figure 3-8 La chaîne de détection de flamme ............................................................... 109
Figure 4-1 Conditions et évènements ........................................................................... 116
Figure 4-2 Structure de contrôle du processus d’exploitation et d’opération ............... 117
Figure 4-3 Boucle de contrôle de la sécurité ................................................................ 118
Figure 4-4 Composition d’une action dangereuse ........................................................ 120
Figure 4-5 Classification des fateurs de causalité contribuants aux dangers ................ 123
Figure 4-6 Diagramme PID .......................................................................................... 126
Figure 4-7 Grille MMR................................................................................................. 127
Figure 4-8 Les causes d’un UVCE ............................................................................... 130
Figure 4-9 Structure administrative et organisationnelle .............................................. 133
Figure 4-10 Structure administrative locale chargée de la sécurité de l’installation .... 134
Figure 4-11 Exemple de la structure de contrôle de la sécurité au niveau du système
d’exploitation ................................................................................................................ 135
Figure 4-12 Classification des variables d’un système ................................................. 137
Figure 5-1 Les étapes de la démarche (Cantot, 2006) .................................................. 153
Figure 5-2 Les agent du projet de simulation ............................................................... 161
Figure 5-3 Interface agent chauffeur ............................................................................ 162
Figure 5-4 Simulation de la formation d’une population de chauffeurs camion gros
porteur ........................................................................................................................... 166
Figure 5-5 Interface agent « GrosPorteurs» .................................................................. 166
Figure 5-6 Image du site introduite dans la classe main ............................................... 168
9
Figure 5-7 Partie SED du Main distinguant les différentes branches possibles selon le
niveau de formation du chauffeur du camion gros porteur ........................................... 170
Figure 5-8 Conséquence du déclenchement de l'alerte niveau bas sur le système
d’événements discrets. .................................................................................................. 173
Figure 5-9 Evénements pouvant se déclencher lorsque le niveau du réservoir varie ... 176
Figure 5-10 Alerte de niveau bas sur le réservoir. ........................................................ 176
Figure 5-11 Réservoir et différents événements liés. ................................................... 177
Figure 5-12 Panneau de contrôle : mode dégradé......................................................... 177
Figure 5-13 Perte de contrôle manque de ressource pompiste ..................................... 178
Figure 5-14 Conséquence du manque de ressource pompiste. ..................................... 178
Figure 5-15 Perte de contrôle : manque de temps entrainant une volonté d'accélérer. . 178
Figure 5-16 Perte de contrôle : cascade de manque de temps, compétence, et ressource.
...................................................................................................................................... 179
Figure 5-17 Interface de l’agent pompiste .................................................................... 180
Figure 5-18 Propriété de la ressource "Pompiste" et des unités de ressources
"pompistes" ................................................................................................................... 181
Figure 5-19 Actionchart de la fonction d'identification des chauffeurs par le pompiste
...................................................................................................................................... 182
Figure 5-20 Camion gros porteur arrêté pour identification ......................................... 183
Figure 5-21 Résultat de l'identification (premier cas) .................................................. 183
Figure 5-22 Résultat de l'identification (second cas) .................................................... 184
Figure 5-23 Résultat de l'identification (troisième cas) ................................................ 184
Figure 5-24 Résultat de l'identification (quatrième cas) ............................................... 186
Figure 5-25 Diagramme états-transitions procédural du poste de déchargement ......... 188
Figure 5-26 Diagramme stock-flux du poste de chargement ........................................ 188
Figure 5-27 Diagramme états-transitions opérationnel du poste de chargement .......... 189
Figure 5-28 Début de déchargement. Vue en système d’événements discrets. ............ 190
Figure 5-29 Phase 1 : début de déchargement. Etapes oubliées ou mal réalisées. ....... 191
Figure 5-30 Phase 2 : Fin de déchargement. Vue en dynamiques de système. ............ 191
Figure 5-31 Propriété de l’événement « StopperChargement » déclenché par condition
(le petit porteur est rempli quand il atteint 3% du volume du réservoir. ...................... 192
10
LISTE DES TABLES
11
12
CHAPITRE 1: LE CONCEPT DE L’ACCIDENT
Un concept est la « représentation mentale d’un objet » (Centre National de
Ressources Textuelles et Lexicales). Il regroupe l’ensemble des prédicats relatifs à la
perception d’un sujet donné. Le concept d’accident englobe les différentes théories
construites par l’esprit humain et scientifique pour appréhender un objet ou un
phénomène. On peut ainsi appréhender la notion d’accident en suivant la loi des trois
états de la connaissance énoncée par Auguste Comte (Garbolino et al., 2010).
13
la nécessité d’adopter les aspects de la systémique dans la tentative d’approche de la
vérité des accidents technologiques.
C’est donc une rupture fortuite, sans motif apparent qui affecte une personne ou
un groupe de personnes, en interrompant le déroulement normal, probable et attendu des
choses. Les termes décrivent une situation qui découle d’un flux de danger, et qui peut
14
être décrite comme désastreuse, catastrophique, troublante, calamiteuse, tragique,
urgente ou de crise. Flou et imprécision, aléa et instabilité, ambiguïté, incertitude et
imprévisibilité constituent une combinaison inhérente de la complexité qui entoure le
terme d’accident. Ces caractères complexes de l’accident résident donc dans la
multiplicité des composants, dans la diversité de leurs interrelations ainsi que dans
l’imprévisibilité potentielle des comportements, suscitant des phénomènes d’émergence
intelligibles, mais non toujours prévisibles.
C’est ainsi que les processus sont appréhendés dans une logique d’évolution
dynamique d'ordre et de désordre qui rend bien souvent imprévisibles, en tout cas
incertain, les modifications des contraintes qui entrainent l’accident dans un système
complexe. L’accident majeur ou l’accident technologique lié à l’activité industrielle de
l’homme entraine souvent des dégâts humains, matériels, et environnementaux.
Leveson, (2011) définit l’accident qui survient dans un système industriel complexe
ainsi :
15
mortelle, deux aéronefs violant l’espace minimum de séparation requise, et de trains de
banlieue dont les portes s’ouvrent de manière inattendue entre deux gares.2».
Les accidents sont donc des processus complexes impliquant l'ensemble
sociotechnique du système.
2
An accident is an unplanned and undesired loss event. That loss may involve human death and injury,
but it may also involve other major losses, including mission, equipment, financial, and information
losses. Losses result from component failures, disturbances external to the system, interactions among
system components, and behavior of individual system components that lead to hazardous system states.
Examples of hazards include the release of toxic chemicals from an oil refinery, a patient receiving a
lethal dose of medicine, two aircraft violating minimum separation requirements, and commuter train
doors opening between stations.
.
16
les fondements de base des modèles conceptuels des accidents étudiés dans les chapitres
suivants.
Depuis René Descartes (Laporte, 1988), mais déjà depuis Aristote (Rodrigo,
2011), la recherche scientifique est fondée sur le postulat de la causalité : les
phénomènes du monde peuvent être expliqués par un enchaînement de causalités. Si un
phénomène apparaît comme trop complexe, il suffit de le décomposer en plusieurs
enchaînements de causalités pour l’analyser. Cette démarche est dite analytique.
17
Pour saisir la réalité, il faut par exemple par cette approche se perdre dans le
désert et dénombrer chaque grain de sable. Les moyens requis pour agir augmentent de
façon exponentielle. L'acquisition d'une vision d'ensemble devient de plus en plus
difficile, ce qui constitue, en soi, un nouveau facteur de difficulté. C’est ainsi que l’on
passe de l’étude d’un ensemble à l’étude d’un système. La causalité revêt alors un
nouvel aspect qualifié de systémique.
18
2. Bref retour historique
19
Les mesures réglementaires appliquées aux entreprises où existent des risques
majeurs font l’objet de contrôles et d’autorisations périodiques par les services
préfectoraux (installations classées, DRIRE devenues les DREAL). En fonction de leur
nature, les mesures de prévention, qu’elles soient réglementaires ou non, relèvent de
deux types :
- les mesures techniques correspondant à la mise en place de moyens matériels
liés aux processus opératoires : équipements de sécurité et de contrôle,
interdiction ou restriction dans l’emploi de certains produits très dangereux,
processus opératoires sécurisés, etc. ; - les mesures à caractère organisationnel et
administratif, par exemple la classification des installations classées, le plan
particulier d’intervention (PPI) ou le plan de prévention des risques
technologiques (PPRT).
20
des systèmes (Fadier, et al., 1990; Villemeur et al., 1988). Au cours de cette première
« ère », l’accident est ainsi vu comme un problème technique. Le management de la
sécurité repose donc sur l’amélioration de la fiabilité des systèmes techniques. Bien que
l’hypothèse d’équivalence entre la sécurité et la fiabilité ait accompagné toutes les
perspectives historiques de l’accident sans pour autant démontrer sa consistance, les
premières études scientifiques montrent cependant qu’à partir des années 60, en plus des
défaillances techniques, les interprétations des accidents doivent s’expliquer aussi à
travers des erreurs commises par l’homme.
21
l’opérateur et son environnement direct de travail (poste de travail, pupitre de
commande, etc.). Les ergonomes reconnaissent la robustesse des systèmes
sociotechniques et la variabilité de la performance humaine qu’ils considèrent comme
inévitables mais aussi essentiels pour le système (Fadier et Mazeau, 1996).
22
L’objectif de la démarche réside dans l’étude de l’organisation dans laquelle
évolue l’opérateur et dans l’identification des facteurs organisationnels qui influencent
ses actes. Comme le précisent (Bird and Loftus, 1976), le terme d’« Error Forcing
Context », utilisé aux États-Unis, traduit particulièrement bien cette idée selon laquelle
l’opérateur est contraint à l’erreur par les forces et les contraintes exercées sur lui par le
contexte organisationnel de travail. L’opérateur peut être comparé à une marionnette
dont les mouvements sont influencés par l’organisation qui en actionnerait les fils.
Reason est l’auteur qui a largement inspiré cette perspective et qui a contribué à
son développement. Il introduit, avec son célèbre modèle gruyère, les notions d’erreurs
actives qui ne peuvent se comprendre qu’en référence aux conditions latentes qui
demeurent cachées dans le système (Reason, 2016; Reason, 1995). L’approche de
management de la sécurité proposée par cette perspective repose sur l’identification des
conditions latentes de défaillances cachées dans le système, sur l’élimination ou la
diminution de leur influence, sur la fiabilisation des processus organisationnels,
l’analyse de la qualité de la gestion de la sécurité et la mise en place de systèmes de
management de la sécurité.
23
2.1.4 L’ère des facteurs inter-organisationnels
De nouveaux fondements scientifiques, actuellement en cours de développement
et de formalisation, viennent depuis peu compléter cette approche organisationnelle de
la sécurité, qualifiée par certains de linéaire (Bieder, 2006) ou encore
d’épidémiologique (Hollnagel, 2004). Ils partent des principes proposés par les
perspectives précédentes mais reconnaissent en outre le fait que l’organisation puisse
récupérer ses propres erreurs tout comme le fait qu’elle évolue dans un environnement
complexe évoluant sans cesse. Ainsi des approches systémiques ou inter-
organisationnelle (Fahlbruch and Wilpert, 2001; Hollnagel, 2006; Wilpert and
Fahlbruch, 1998), proposent de nouvelles façons d’appréhender la sécurité. Ces
approches tentent de dépasser les frontières structurelles de l’organisation en la
modélisant sous la forme d’un système complexe ouvert, imbriqué dans un
environnement en constante évolution qui exerce des contraintes sur elle : contraintes
politiques, économiques, sociales, concurrence, pression de l’autorité de tutelle, etc.
Ces contraintes peuvent être prévues, lentes, durables mais peuvent également
constituer un choc soudain ou une agression surprise pour l’organisation sans que celle-
ci n’ait vraiment les moyens de les contrôler ou de les contourner. Les agressions que
l’organisation subit peuvent également provenir de son propre environnement interne :
pression des salariés, mouvements de grève, jeux stratégiques des acteurs, etc.
Alors que dans la perspective organisationnelle précédente, l’accent était mis sur la
maîtrise de l’environnement organisationnel de travail de l’opérateur, l’enjeu est
davantage ici celui de construire, entretenir, maintenir la capacité de l’organisation à
faire face ou à anticiper toutes les évolutions et agressions potentielles de son
environnement (interne et externe) afin qu’elle soit capable de continuer à fonctionner.
L’approche se focalise ainsi sur les conditions de dégradation de la sécurité de
l’organisation et sur les mécanismes d’adaptation, de résilience de l’organisation face
aux chocs provenant de son environnement.
24
3. Les modèles conceptuels de l’accident
Au cours de la partie précédente, nous avons abordé les différents courants
interdisciplinaires qui ont accompagné l’évolution historique de la perspective
d’approche de l’accident. L'historique de la conception et du développement des
modèles d’accidents ainsi que les diverses démarches d’approches de la vérité de
l'accident ont été discutés par de très nombreux chercheurs du champ des « Safety
Sciences ». De nombreux chercheurs se sont en effet emparés de la question comme les
sciences de l’ingénieur, l’ergonomie, la psychologie, la sociologie, l’informatique…
(Ferry, 1988; Hollnagel and Woods, 2005; Leveson and Dulac, 2005; Perrow, 1984;
Reason, 1995; Skelt, 2002). Ils ont fourni une vue d'ensemble des principaux modèles
d’accidents depuis les années 1950 qui reflète clairement l'évolution des différentes
compréhensions de la nature de l'accident.
Dans cette partie, nous allons tout d’abord recenser les représentations
recueillies dans la revue de littérature pour ensuite évoquer les limites de ces prototypes
à travers les démarches d’approche de la vérité inatteignable de l’accident. Une
démarche triviale pour tenter d’approcher cette vérité de l’accident débute par le fait
d’accorder un intérêt particulier aux causes qui ont contribué à l’avènement de ce
phénomène. Nous présentons dans cette section un état de l’art des modèles conceptuels
de l’accident.
25
Lorsque le premier domino tombe, il frappe automatiquement l’évènement
directement connexe et ainsi de suite jusqu'à ce que le préjudice se produise.
3.1.1 Les modèles conceptuels construits sur les base du modèle Domino
La théorie du Domino appartient à la classe des modèles d’accident orienté
« événement ». Ces modèles sous-tendent la plupart des modèles qui traitent les causes
fondamentales, causes immédiates, causes latentes et systémiques de Reason, ainsi que
les outils d’analyse des risques (Larouzée et Guarnieri, 2014).
En 1976, (Bird and Loftus, 1976) étendent la base du modèle Domino pour y
inclure la prise de décision du gestionnaire comme facteur influant dans la chaîne des
26
évènements de défaillance. Le manque de contrôle est considéré comme initiateur des
causes principales de la dégradation des facteurs gestionnaires et du comportement des
employés). Cela crée un environnement propice de non-respect des
pratiques/règles/conditions, et de la négligence des erreurs et des défaillances, ce qui
provoque des causes immédiates qui entrainent de fait un accident ou un incident.
La même année, Adams cité par Leveson (2011) propose un autre modèle qui
inclut :
- Une structure de gestion comprenant les objectifs, l’organisation, et les
opérations, qui peuvent engendrer des erreurs opérationnelles généralement liées
au comportement du contrôleur ou à des erreurs tactiques provoquées par un
employé insatisfait par les conditions de travail. Ces erreurs provoquent
l’accident ou l’incident et entrainent des dommages aux biens et aux personnes.
- L’occurrence de l’accident est détectée dans une chaîne où les événements
défaillants sont directement liés les uns aux autres. Ainsi, afin d’expliquer
l’accident, il suffit d’évaluer les risques en regardant la chaîne des événements
défaillants qui ont conduit à la perte. Les événements les plus courants
considérés dans ces modèles sont les pannes de composants qui sont utilisés
pour assurer la sûreté de fonctionnement.
27
Mode and Effect Analysis (FMEA), Fault Tree Analysis (FTA), analyse Cause-
Conséquence (Courtois et Leveson, 1996).
Ces modèles décrivent donc une causalité linéaire, et il est dès lors difficile
d'incorporer des relations non linéaires. Le premier événement de la chaîne est souvent
considéré comme l’événement déclenchant, sa sélection reste arbitraire. De plus, des
événements précédents et des conditions peuvent toujours être ajoutés (Leveson, 2001).
Enfin, le dernier évènement, avant l’accident, peut être considéré comme étant la cause
sans que cela ne soit réellement le cas.
28
Figure 1-3 Modèle conceptuel évènementiel, séquentiel et conditionnel (Qureshi,
2007)
Charles Perrow (Perrow, 1984) à travers sa théorie de l'accident normal fournit une
approche de l’accident dans les industries complexes (nucléaire, pétrochimie, aviation,
navires, espace, armes nucléaires). Il analyse plusieurs problèmes d’accidents
29
impliquant des systèmes complexes comme l’accident nucléaire de Three Miles Island
en 1979. Il considère que la complexité des interactions et le couplage fort de ces
systèmes complexes font irrémédiablement migrer le système technique et les
organisations vers l’accident.
Ces causes systémiques ne créent pas d’accidents à elles seules mais sont
délétères et synergiques lorsque surviennent une ou des erreurs humaines. Elles sont par
ailleurs la raison principale des défaillances futures. Ces causes ne se révèlent que lors
des enquêtes approfondies dites systémiques qui mettent le plus souvent en évidence la
mauvaise organisation ou coordination du système plutôt que le manque de compétence
des professionnels. Ces enquêtes approfondies sont un objet essentiel de la démarche de
gestion des risques.
30
catastrophes observées, bien avant les questions de manque de compétences techniques
de chaque acteur impliqué.
Les travaux de Reason (2013) ont mis l’accent sur l’aspect multifactoriel et la
nécessité de promouvoir une analyse non culpabilisante afin de pouvoir apprendre de
ses erreurs pour améliorer la sécurité. Apprendre d’une erreur nécessite un diagnostic
approfondi et approprié des causes.
Besnard et Baxter (2003) considèrent qu’il faut qu’il y ait simultanément des
défaillances techniques et organisationnelles pour s’emparer du maillage de cette
causalité conduisant à l’accident. Ils proposent d’intégrer alors les modèles conceptuels
des chaînes d’évènements avec le modèle de Reason afin de trouver le maillage de
causalité qui entraine l’accident et effectuent les approches suivantes pour soutenir leurs
propositions.
Un système peut être représenté selon plusieurs niveaux. Chaque niveau contient
un sous-système susceptible d’affecter le fonctionnement de l’ensemble général du
système. Les défaillances sont influencées par les conditions instables qui sont
généralement présentes sans avoir d'effet immédiat. Une défaillance de ce point de vue
31
est donc la confrontation d’une combinaison improbable d'un certain nombre de facteurs
contributifs (erreurs latentes *conditions instables). Dans de tels systèmes, Besnard et
Baxter (2003) considèrent que les événements se propagent. Les accidents ne sont donc
pas causés par la survenue des circonstances défavorables soudaines. Ils sont générés
par des défauts initiaux qui, sous certaines conditions, déclenchent un événement
indésirable. L’effet d’escalade des évènements se manifeste à travers des défaillances
latentes reparties sur le système complet.
Dans les années 1980, une nouvelle forme de modèles d'accident est apparue,
qualifiée « d’épidémiologique ». Elle a pour ambition d’expliquer la cause des accidents
au sein de systèmes dits « complexes ». Le modèle « épidémiologique » prend en
compte les événements conduisant à des accidents analogues à la propagation d’une
maladie, c'est-à-dire, comme le résultat d'une combinaison de facteurs, qui coexistent
dans le temps et dans l'espace (Perneger, 2005). Le modèle de fromage suisse de Reason
(2016, 1990) est la référence en la matière car il met en évidence les relations entre
causes latentes et causes immédiates.
32
épidémiologiques (ou des modèles de systèmes linéaires complexes), et (c) des modèles
systémiques (Hollnagel, 2004, 2006).
Les modèles séquentiels sont les plus simples, et sont souvent conformes à notre
compréhension naturelle des accidents. Ces modèles mettent l'accent sur la prévention
des accidents dans les systèmes relativement simples, par exemple, pour un opérateur
travaillant avec une machine.
33
Les concepteurs des systèmes de sécurité et les investigateurs d’accidents sont
induits en erreur à travers l’emploi de ces démarches. En effet, les notions formelles et
informelles, pour représenter la chaîne des événements, ont des limitations importantes
dont principalement la subjectivité dans le choix des événements à inclure dans
l'identification de chaînage des conditions et dans l'exclusion des facteurs systémiques.
Cela suppose qu’une seule cause directe entraine l'accident, et si cette cause
unique peut être identifiée et éliminée, l'accident ne sera pas répété. La réalité est que
les accidents ont toujours plus d'un facteur intervenant. Les accidents sont des processus
complexes impliquant l'ensemble du système sociotechnique. Les modèles ne peuvent
pas décrire ce processus adéquatement puisqu’ils ne dévoilent pas la représentation de la
complexité réelle et la confrontation des interactions qui peuvent entrainer l’accident.
Nous allons résumer les limites de ces modèles évoqués.
34
4.1.1 Subjectivité dans la sélection des évènements
La sélection des événements à inclure dans une chaîne dépend de la règle d'arrêt
déterminée, de la séquence explicative ou du raisonnement d’interprétation de
l’approche de la vérité de l’accident. Bien que le premier événement dans la chaîne soit
souvent appelé la cause initiatrice d’événement, la sélection de cette dernière reste
arbitraire. Parfois l'événement déclencheur est sélectionné car il représente un type
d'événement qui est familier, acceptable comme motif ou parce qu’il s’avère représenter
un écart par rapport à une norme. Dans d'autres cas, l'événement initiateur est choisi
parce qu'il est le premier événement pour lequel on estime qu’une intervention pourrait
empêcher l’accident. Le chaînage peut également s’arrêter parce que le chemin causal
disparaît en raison du manque d'information.
L'une des raisons de cette tendance à rechercher une cause unique réside dans la
volonté d’attribuer à l’accident un responsable physique humain et par la suite le
blâmer, ceci souvent à des fins juridiques. Occasionnellement, un enquêteur d’accident
35
va s'arrêter à un événement particulier ou sur une condition qui lui est familière et
certainement l’utiliser comme une explication acceptable de l'accident.
Le même événement peut ainsi donner lieu à différents types de liens selon les
représentations mentales que l'analyste a de la réalisation de cet événement. Lorsque
plusieurs types de règles sont possibles, l'analyste appliquera celles qui lui semblent
proches de son modèle mental au regard de la situation en jeu.
36
incorrecte et les subjectivités qui induisent en erreur. Pour cela il convient d’adopter un
modèle d’accident qui utilise et guide une analyse complète à plusieurs niveaux du
système technique et social. Nous allons expliquer dans ce qui suit la démarche de cette
approche.
Le modèle de l'accident pour expliquer pourquoi l'accident s'est produit ne devrait pas
seulement encourager l'inclusion de tous les facteurs de causalité, mais devrait
également fournir des indications pour identifier ces facteurs.
37
4.2 Les répercussions des limites des modèles conceptuels traditionnels dans
les systèmes industriels complexes
Les approches analytiques, que l’on retrouve dans les prototypes classiques de
représentation d’un accident, sont fondées sur des principes de linéarité. Cet aspect de
linéarité ne semble pas être approprié pour comprendre ou anticiper la nature
imprévisible des interactions présentes au sein d’un environnement industriel, surtout en
présence de la combinaison des facteurs techniques, humains, organisationnels et inter-
organisationnels.
La confusion sur ce point est illustrée par l'accent mis sur les événements
d'échec dans la plupart des accidents et l'analyse des incidents. Certains chercheurs qui
s’intéressent aux approches organisationnelles de la sécurité, font également cette erreur
en laissant entendre que les organisations de haute fiabilité (HRO) seront en sécurité
(Roberts, 2009).
En effet, il faut bien intégrer l’idée que la fiabilité et la sûreté sont deux concepts
différents, et par la suite on peut rencontrer des systèmes fiables mais pas sûrs et des
systèmes sûrs mais dangereux ou non fiables. Puisque cette hypothèse sur l'équivalence
entre la sécurité, la sûreté et la fiabilité est si largement répandue, la distinction entre ces
deux propriétés doit être soigneusement considérée. Leveson (2011) considère qu’il
existe des systèmes fiables mais dangereux et des systèmes dangereux mais fiables.
38
4.2.1 Des composants fiables mais des interactions entre composants sont dangereuses
Dans un système complexe, chaque composant d’un système considéré
analytiquement peut fonctionner individuellement jusqu’à atteindre sa propre finalité.
Néanmoins, les interactions entre les composants d’un système complexe peuvent
provoquer un accident. En effet, la cause d’un tel accident réside dans les interactions
dysfonctionnelles entre les composants fiables du système. Pour illustrer cela, Leveson
prend l’exemple de l’accident de Mars Polar Land la navette spatiale de la Nasa lancée
le 3 janvier 1999 pour l’étude de sol de Mars. La description de l’accident indique que
la cause directe de l’accident remonte à la « présence des signaux parasites générés lors
du déploiement des pieds de la sonde » (Knight, 2002).
Selon Leveson (2011), les défaillances des composants et les pannes sont
généralement traités comme des phénomènes aléatoires. Il est donc impossible de
prédire les éventuelles interactions entre les composants et de les anticiper. Cependant
l’absence de défaillance des comportements dangereux ne peut constituer un événement
aléatoire.
Dans les accidents liés à l'interaction des composants, il peut n’y avoir aucun
échec et les erreurs de conception de système, donnant lieu à des comportements
dangereux, ne sont pas des événements aléatoires. Ce bruit est normal et attendu et ne
représente pas une défaillance dans le système de la sonde. Le logiciel embarqué a
interprété ces signaux comme une indication que l'atterrissage avait eu lieu (les
ingénieurs logiciels ont été informés de tels signaux) et a coupé les moteurs de descente
prématurément, conduisant le vaisseau à s'écraser sur la surface de Mars. L’accident
s'est donc produit parce que les concepteurs du système n'ont pas tenu compte de toutes
les interactions possibles entre le déploiement de la jambe d'atterrissage et le logiciel de
commande du moteur de descente.
Un échec de conception peut ainsi induire une déviance même lorsque les
composants satisfont les exigences spécifiées (comme éteindre les moteurs de descente
quand un signal est reçu), même si les exigences peuvent inclure un comportement qui
39
n'est pas souhaitable dans un contexte de système plus vaste, cette composante n'a pas
manqué.
Alors que dans certains systèmes industriels, la sécurité fait partie de la mission
ou de la raison d'être du système, comme le contrôle du trafic aérien ou les soins de
santé, dans d’autres, la sécurité n'est pas la mission mais est au contraire une contrainte
sur la mission elle-même. Non seulement les contraintes de sécurité entrent parfois en
conflit avec les objectifs de la mission, mais les exigences de sécurité peuvent même
entrer en conflit entre eux (Leveson, 2011). Une seule contrainte de sécurité sur un
système de porte de train automatisé, par exemple, est que les portes ne peuvent s’ouvrir
à moins que le train ne soit arrêté. Une autre contrainte de sécurité est que les portes
doivent s’ouvrir n'importe où pour l'évacuation d'urgence des usagers.
40
trouver des moyens d'accroître la sécurité de l'installation sans compromettre la fiabilité
du système.
4.3 Les limites des greffes des facteurs systémiques sur les modèles
conceptuels
Les systèmes à grande échelle représentent une collection d'artefacts
technologiques mais ils reflètent aussi le travail de conception d’ingénierie, la structure
de gestion, les procédures et relèvent de la culture de l'organisation. Généralement, ils
sont aussi le reflet de la société dans laquelle ils ont été créés. (Miles, 1973) en
décrivant les concepts de base de la théorie des systèmes, note que : « La présence au
moins d’une science fondamentale, sous-jacente à chaque technologie, même si cette
dernière est souvent bien développée, avant que la science n’ait émergé. Le
recouvrement de tous les systèmes techniques ou civils est un système social qui fournit
l'objet, objectifs et critères de décision. Prévenir efficacement les accidents, dans les
systèmes complexes, exige l'utilisation de modèles d'accident qui inclue ce système
social ainsi que la technologie et la science sous-jacente. Sans comprendre le but, les
objectifs et les critères de décision qui permettant de construire et d'exploiter des
systèmes, il n'est pas possible de bien comprendre et de mieux prévenir les accidents » 3.
3
Underlying every technology is at least one basic science, although the technology may be well
developed long before the science emerges. Overlying every technical or civil system is a social system
that provides purpose, goals, and decision criteria
41
ressources, sentiment public et beaucoup d'autres techniques qui représentent des
influences vitales sur la réalisation d'un niveau acceptable de maîtrise des risques. Ces
aspects non techniques de sécurité de l'installation ne peuvent pas être ignorés. 4»
Plusieurs tentatives ont été faites pour greffer des facteurs systémiques sur les
modèles d'événements, mais toutes ont des limitations importantes. L'approche la plus
courante consiste à ajouter des niveaux hiérarchiques au-dessus de la chaîne
d'événements. Dans les années soixante-dix, Johnson propose une approche et une
méthode de séquençage qui décrit l'accident comme des chaînes d'événements directs.
Les facteurs de causalité des évènements sont déterminés à partir des facteurs
contributifs, qui découlent eux-mêmes de facteurs systémiques (Figure 1-5).
4
System safety covers the total spectrum of risk management. It goes beyond the hardware and
associated procedures of system safety engineering. It involves: attitudes and motivation of designers and
production people, employee/management rapport, the relation of industrial associations among
themselves and with government, human factors in supervision and quality control, documentation on the
interfaces of industrial and public safety with design and operations, the interest and attitudes of top
management, the effects of the legal system on accident investigations and exchange of information, the
certification of critical workers, political considerations, resources, public sentiment and many other non-
technical but vital influences on the attainment of an acceptable level of risk control. These non-technical
aspects of system safety cannot be ignored.
.
42
Figure 1-5 Types de facteurs systémiques (Leveson, 2011)
Johnson (1980) a également tenté de mettre les facteurs de gestion dans les
arbres de défaillances (une technique appelée la MORT (Management Oversight and
Risk Tree), ou arborescence de gestion et de contrôle du risque), mais a fini par
simplement fournir une liste de vérifications générales pour l'audit des pratiques de
gestion de la sécurité. Alors qu'une telle liste peut être très utile, elle suppose que toutes
les erreurs peuvent être prédéfinies et être recensées dans un formulaire de liste de
contrôles (check-list). La liste de contrôles est composée d'un ensemble de questions qui
doivent être posées au cours d'une enquête sur les accidents.
La greffe systémique la plus sophistiquée aux chaînes d'événements est le modèle conçu
par Rasmussen et Svedung (2000) et concerne la hiérarchie du système sociotechnique
impliqué dans la gestion des risques. Ce système comprend une structure de contrôle
hiérarchique, plusieurs niveaux concernant les législateurs, les niveaux d'organisation et
les modes de fonctionnement des systèmes de gestion, les opérateurs du système. À tous
les niveaux, des flux d'informations sont caractérisés. La Figure 1-6 montre un exemple
représentatif, bien que l’organigramme d’une organisation puisse varier d'une industrie
à l'autre.
43
mobilise des connaissances sur l'économie, le comportement organisationnel, les modes
de décision, la sociologie des acteurs. Le niveau L4 décrit les activités de la gestion
d'une entreprise en particulier la stratégie politique déployée pour contrôler la sécurité
des établissements industriels, de gérer et de contrôler le travail de leur personnel. La
connaissance des théories de gestion industrielle et de psychologie organisationnelle est
utilisée pour comprendre ce niveau. Le niveau L5 décrit les activités des acteurs qui à
titre individuel interagissent directement avec la technologie ou le processus contrôlés.
Ce niveau nécessite des connaissances dans des disciplines telles que la psychologie, les
interactions homme-machine et les facteurs humains. Le niveau L6 décrit l'application
des disciplines d'ingénierie impliquées dans la conception de matériels et procédés
potentiellement dangereux et les procédures de fonctionnement, de contrôle de ces
derniers. Comprendre ce niveau nécessite la connaissance de la science et des diverses
disciplines des sciences de l'ingénieur.
44
5. Synthèse du chapitre
Dans ce chapitre, nous sommes brièvement revenus sur la notion d’accident et
ce tour d’horizon historique nous a permis de dresser un état des modèles classiquement
utilisés dans l’industrie pour caractériser la dangerosité d’un système sociotechnique.
Ces modèles apportent de nombreux bénéfices mais présentent des limites intrinsèques
à leurs propres fondements théoriques. Comme alternative, nous proposons d’étudier
les apports d’un modèle systémique d’accidents appelé STAMP (System Theoretic
Accident Model and Processes) (Leveson, 2011). Ce modèle est basé sur la théorie des
systèmes et offre une vue plus exhaustive des causes des accidents et les interactions
indirectes ou non-linéaires entre des événements. Selon STAMP, la sécurité est
reformulée comme un problème de manque (ou d’absence) de contrôle d’un système
plutôt que simplement un problème de fiabilité (ou de disponibilité). La défaillance de
composants (et le manque de fiabilité des composants du système) sont toujours
envisagés, mais plus généralement les accidents sont réputés survenir lorsque les pannes
de composants, les perturbations extérieures, ou quand les interactions indésirables et
dangereuses entre les composants du système ne sont pas adéquatement traitées, c'est-à-
dire contrôlées, conduisant à un comportement du système non sécuritaire. Le
comportement dangereux du système est défini en termes de comportement avec des
contraintes de sécurité requises qui n'ont pas été respectées. Le chapitre 2 présente le
modèle STAMP.
45
46
CHAPITRE 2: PRESENTATION DE STAMP
La sémantique qui accompagne les approches systémiques de l’analyse des
systèmes, de la dynamique des systèmes, de la théorie des systèmes…, repose
essentiellement sur la notion système. L’étude formelle des systèmes est apparue au
XIXe siècle avec la naissance de l'industrie. En réponse aux limites et techniques
classiques d'analyse face à des systèmes industriels de plus en plus complexes, le
concept moderne de système a émergé dans la seconde moitié du XXe siècle en
différents domaines scientifiques (Samadi, 2012a) . (Durand, 1979) nomme cinq
pionniers célèbres :
47
1. Petite histoire de la systémique
Le point de départ se situe dans la série des dix séminaires organisés entre 1946
et 1953 à la Josiah Macy Foundation (Cambien, 2008). Sociologues, mathématiciens,
biologistes ou encore anthropologues s'y côtoient, discutant cybernétique, complexité,
système. Notons également que c'est au cours de cette seconde décennie que s'est
développée la bionique et que le biologiste von Bertalanffy fonde la société pour l'étude
des systèmes généraux (Society for General Systems Research.(ISSS.). Au milieu de ce
bouillonnement d'idées se constituent les bases d'un langage commun qui deviendra
celui de la systémique (Garbolino et al., 2010).
48
d'environ dix ans chacun, les travaux réalisés au sein du MIT vont conduire du
développement de la Cybernétique à celui de la dynamique des systèmes.
À partir des années 70, sont réunies un certain nombre de conditions culturelles,
scientifiques et institutionnelles qui vont permettre, à partir des différentes approches
développées au cours des trois décennies précédentes, de voir se constituer la science
des systèmes ou pensée systémique.
49
américains et français. Ces derniers sont en effet conscients de la nécessité d'une
synthèse à un niveau théorique de l'ensemble des lois qui semblent fonder la science des
systèmes. Parmi eux, H. Simon, H. von Foerster, J. Forrester, E. Morin, I. Prigogine, H.
Atlan, J.L. Le Moigne.
Le premier à s'être attelé à cette tâche est le biologiste Ludwig Von Bertalanffy
qui, en 1968, à New York, rassemble ses différents travaux dans un ouvrage de synthèse
intitulé General System Theory (Bertalanffy, 1969), traduit en français sous le titre « La
théorie générale des systèmes » (Chabrol, 1973). Dans cet ouvrage, qui fait la part belle
aux systèmes biologiques, l'auteur définit un certain nombre de concepts tels que ceux
de systèmes ouverts, d'homéostasie, d'équifinalité, etc. Von Bertalanffy prône une
appréhension globale du système, insistant sur l'importance de la compréhension des
relations entre les différents éléments, et non, comme préconisé par la pensée classique,
une saisie analytique des éléments du système. Approximativement à la même époque,
Herbert Simon (SIMON : 1974) et Kenneth Boulding (Boulding, 1956) contribuent eux
aussi à théoriser les principes développés dans le cadre de leurs travaux.
50
une autre représentation des phénomènes, distingués en phénomènes décomposables,
phénomènes quasi décomposables et phénomènes différenciables mais indécomposables
sans mutilation (c.à.d. indissociables de leur environnement et irréductibles à un seul
élément). Cette vision (Cambien, 2008) se démarque la théorie des systèmes par le fait
de mettre clairement l’accent sur la place dynamique des acteurs dans le système et de
considérer qu’il n’y a plus d’observateur extérieur, mais que l’observation est une action
qui contribue à le modifier (modèles mentaux).
C’est ainsi que la dynamique des systèmes sous les travaux de modélisation de
Jay Forrester, la différenciation de la systémique en deux courants est induite. D'un
côté, la systémique de première génération, en filiation directe de la cybernétique,
s'appuie sur des méthodes quantitatives et sur l'outil informatique pour, au-delà de la
seule compréhension du système, tenter de prévoir son comportement. La systémique de
seconde génération, appelée «System Thinking», s'inscrit dans une perspective un peu
différente par rapport à la démarche prospectiviste de la systémique de première
génération (Cambien, 2008).
Dans le premier cas, ce sont les boucles négatives qui assurent la stabilité, alors
que dans le second, c'est la domination des boucles positives qui entraînent le
changement. La coexistence de ces deux dynamiques au sein de tout système permet au
51
système de sauvegarder sa survie. Au-delà de la finalité du simple maintien de
l'équilibre initial, il existe donc au sein de tout système une finalité de la survie qui
explique que, sous la pression de l'environnement, le système se modifie pour retrouver
un équilibre. Dans un premier temps, les boucles positives prennent l'ascendant sur les
boucles négatives pour déclencher et conduire une transformation du système, avant de
laisser à nouveau les boucles négatives prendre le dessus et assurer le maintien d'un
équilibre qui peut être tout à fait différent de la situation initiale.
Pour atteindre les objectifs fixés, un nouveau fondement théorique est nécessaire
pour la sécurité du système. La théorie des systèmes prévoit ce fondement. Ce qui vient
d’être exposé présente les concepts de base en théorie des systèmes et la façon dont
cette théorie est reflétée dans l'ingénierie des systèmes, et comment tout cela se rapporte
à la sécurité du système.
5
: http://www.afscet.asso.fr/
52
Cette décomposition (officiellement appelée réduction analytique) sous-tend que
chaque élément, composant ou sous-système, fonctionne de façon autonome et que les
résultats d'analyse des composants considérés séparément ne sont pas déformés lorsque
le composant est replacé dans son environnement. Cette hypothèse implique que les
composants ou les événements ne sont pas soumis à des boucles de rétroaction et autres
interactions non-linéaires et que le comportement des composants est le même quand
examiné isolément comme quand ils jouent leur rôle dans l'ensemble. Une hypothèse
fondamentale est que les principes relatifs à l'assemblage des composants dans
l'ensemble (les interactions) sont simples.
53
Il existe une hypothèse concernant les systèmes que les théoriciens appellent
systèmes à complexité organisée. Ces systèmes sont trop complexes pour analyse
complète et trop organisés pour les statistiques ; les moyennes sont dérangées par la
structure sous-jacente]. De nombreux systèmes d'ingénierie complexes de l’après
Seconde Guerre mondiale, ainsi que des systèmes biologiques et des systèmes sociaux,
entrent dans cette catégorie.
Ces propriétés du système découlent des rapports entre les parties du système :
comment les pièces interagissent et s'ajustent. Se concentrer sur l’analyse et la
conception d’un tout indépendamment des composants des composants ou pièces
fournit représente un moyen d'étudier les systèmes présentant une complexité organisée.
Les fondements de la théorie des systèmes reposent sur deux paires d’idées : (1)
l’émergence de la structure hiérarchique et (2) rétroaction et le contrôle.
54
propriétés émergentes, l'une d'elles concerne la pomme elle-même. Le concept
d'émergence est l'idée qu'à un certain niveau de complexité, certaines propriétés
caractéristiques de ce niveau (émergeant à ce niveau) sont irréductibles.
La fiabilité est une propriété d’un composant. Les conclusions peuvent être
obtenues sur la fiabilité d'une vanne en isolation, où la fiabilité est définie comme la
probabilité avec laquelle le comportement de la vanne va être conforme aux
spécifications dans le temps et dans des conditions données. La sécurité, d'autre part, est
manifestement une propriété émergente des systèmes : La sécurité ne peut être
déterminée que dans le contexte de l'ensemble.
Déterminer si une usine est suffisamment en sécurité n'est pas possible, par
exemple, en examinant une seule vanne dans l'usine. En fait, les déclarations sur la
" sécurité de la vanne " sans informations sur le contexte dans lequel cette vanne est
utilisée sont dénuées de sens. La sécurité est déterminée par la relation entre le vanne et
les autres composants de l'installation. Comme autre exemple, les procédures que le
pilote exécute lors d’un atterrissage pourraient être sûres dans un avion ou dans un
ensemble de circonstances mais dangereux dans un autre. Bien qu'elles soient souvent
confondues en procédures, la fiabilité et la sécurité sont des propriétés différentes.
Les pilotes peuvent exécuter de manière fiable les procédures d'atterrissage d'un
avion ou dans un aéroport dans lesquels ces procédures sont dangereuses (Leveson,
2011). Une arme à feu lorsqu'elle est déchargée sur un désert avec aucune présence
55
d’êtres vivants peut être à la fois sûre et fiable. Quand l’arme est déchargée dans un
centre commercial bondé, dans ce cas la fiabilité n’est pas mise en question, mais la
sécurité assurément. Parce que la sécurité est une propriété émergente, il n'est pas
possible de prendre un seul composant du system, comme par exemple un composant
technique ou une seule action humaine, en l’isolant de son environnement. Un
composant qui est tout à fait en sécurité dans un système ou dans un environnement
peut ne pas continuer à l’être dans un autre.
56
supérieur imposant des contraintes sur la partie inférieure. Le niveau supérieur est une
source d'une description alternative (plus simple) du niveau inférieur en termes de
fonctions spécifiques émergent à la suite de l'imposition de contraintes.
57
3. Le modèle STAMP
Dans les systèmes complexes modernes, l’homme se trouve dans un
environnement où il va manipuler des machines et des technologies compliquées. Les
résultats de ces interactions homme/machine ne peuvent pas être appréhendés selon une
approche cartésienne. En effet on ne peut pas comprendre le résultat de ces interactions
si l’homme ou la technologie sont étudiés chacun de manière isolé de leur contexte. Les
systèmes composés d'agents humains et d’artefacts techniques sont souvent ancrés dans
des structures sociales complexes telles que les objectifs de l'organisation, ces stratégies,
la culture d’entreprise, sa situation économique, juridique, politique et
environnementale.
Il trouve son application notamment avec les travaux de (Hanan Altabbakh et al.,
2014) où le modèle est employé pour effectuer une analyse d’accident sur une
installation de traitement de pétrole brut. Le recours au modèle STAMP est aussi adopté
58
dans la thèse de (Rolf-Arne Haugen Syvertsen, 2012) pour analyser l’accident de la
plateforme pétrolière Deepwater Horizon. Dans la thèse de (Silje Frost Budde, 2012) il
permet de modéliser un blowout pendant un forage. Dans celle de (Samadi, 2012b) il
permet d’effectuer une analyse de risque de captage et de stockage de CO2. Dans
(Pitiporn Thammongkol, 2014) il permet d’analyser l’accident de la raffinerie
Richmond opérée par Chevron survenue en août 2012 en Californie San Francisco Bay.
Dans ses travaux pour les industries pétrochimiques, Nancy Leveson (Leveson, 2013b)
l’utilise pour concevoir des indicateurs globaux de gestion des risques.
Le cadre théorique STAMP présume que toutes les pratiques dangereuses sur le
système sont le résultat des actions appliquées suivantes (Leveson, 2011) :
- L’opération de contrôle qui vise à préserver la sûreté de fonctionnement et la
sécurité du système n’est pas déclenchée.
- L’opération de contrôle engagée expose le système à des difficultés qui
compromettent à la sécurité.
- L’opération de contrôle pour assurer la sûreté de fonctionnement et la sécurité
du système n’est pas communiquée à terme.
- L’exécution des commandes de contrôle est interrompue ou est poursuivie sur
une longue période.
59
l’accident dans un cadre global qui tient compte des processus, structure et hiérarchie
complexe.
3.1.2 Les modèles conceptuels traditionnels d’analyse des accident représentent des
limites
Les Accidents sont des processus complexes impliquant l’ensemble du système
sociotechnique. Les modèles traditionnels de type « chaîne d'événements » ne peuvent
décrire le processus d’accident rigoureusement. La plupart des modèles d’accidents qui
sous-tendent l'ingénierie de la sécurité proviennent d’une époque (les années 1960) où
les systèmes étaient beaucoup plus simples. Les nouvelles technologies et la prise en
compte des facteurs humain et organisationnel (durant les années 1990) sont des
changements fondamentaux dans l'étiologie des accidents, qui provoquent de fait une
évolution dans les mécanismes explicatifs utilisés pour les comprendre et les techniques
d'ingénierie appliquées afin d’en éviter la survenance.
Les modèles basés sur des événements sont limités dans leur capacité à représenter les
accidents comme des processus complexes, en particulier en ce qui concerne les
facteurs d'accident systémique en lien direct avec les déficiences structurelles de
l'organisation, le manque de gestion et les failles dans la culture de la sécurité de
l'entreprise ou d’une industrie (Pidgeon, 1991). Il est désormais admis qu’il faut
comprendre comment l'ensemble du système, y compris les composantes
60
organisationnelles et sociales, fonctionnent ensemble, et comment il peut lui-même se
conduire à sa perte. Les extensions de modèles de type « chaîne d'événements »
proposées à ce jour, ne sont pas satisfaisantes (Woods et al., 2012). Un modèle
d'accident devrait mettre en valeur une vue d'ensemble des mécanismes de l'accident qui
élargit l'enquête au-delà des événements immédiats : une focalisation sur l'opérateur, les
défaillances des composants physiques et de la technologie peut conduire à négliger
certains des facteurs des plus importants en termes de prévention des accidents futurs
(Leveson, 2004). La notion de « cause principale » doit donc être reconsidérée
(Leveson, 2011).
61
humains. Dans ce contexte, en cas d'accident, l’étude de l'erreur humaine (écarts de
procédures normatives) suppose de mettre l'accent sur les mécanismes et les facteurs qui
influencent le comportement humain. Il est donc nécessaire de comprendre le contexte
dans lequel les actions humaines ont lieu et les décisions sont prises. La modélisation de
comportement en elle-même par la décomposition dans les décisions et les actions ou
les événements, dans la plupart des modèles d’accidents actuels tous les font, et ils
l’étudient comme un phénomène isolé du contexte dans lequel le comportement a lieu et
ceci n'est pas un moyen efficace pour comprendre le comportement.
3.1.5 La présence des systèmes automatisés fiables de contrôle du processus n’est pas
suffisant pour maîtriser la sécurité
Dans les industries, on retrouve de plus en plus des systèmes automatisés de
contrôle des processus. Un système automatisé très fiable n'est pas nécessairement sans
danger (Thomas et al., 2012). Augmenter la fiabilité de ces machines a peu d'impact sur
la sécurité si elle est isolée du contexte global. Un système automatisé est intégré dans
un environnement de travail et interagit avec une bonne partie des composants du
système, et parfois avec des composants sensibles (les capteurs par exemples) d’où la
notion d’impact modéré de sa fiabilité.
3.1.6 La migration du système vers un état accidentel peut être anticipée par un travail
de conception approprié au système
Le travail de conception de la sécurité doit comprendre les démarches de
prévention des risques qui permettent de traiter l’adaptation et les modes de changement
d’un système au cours du temps. Pour cela, tout travail suppose l’étude de l’ensemble
de processus impliqué dans la sécurité et non seulement les conditions et les
évènements. Les procédures de contrôle doivent intégrer une étape de description du
système et du comportement humain requis. Le travail de conception de la sécurité doit
comprendre une approche pour expliquer les facteurs sociaux et organisationnels. Tout
travail de conception de la sécurité doit être traité comme un problème complexe
impliquant l’ensemble de la structure sociotechniques d’un système notamment les lois
et les règlements, les organismes gouvernementaux les associations industrielles et les
62
compagnies d'assurance, la gestion de l'entreprise, opérateur technique et ingénieur, les
opérations, et ainsi de suite.
Table 2-1: Les hypothèses
63
approche nécessaire pour l’apprentissage, le l’ennemi de la sécurité. L’important est de
retour d’expérience et la prévention des comprendre comment le comportement de
accidents l’ensemble du système contribue à l’accident et non
pas de trouver un coupable.
4. Le concept STAMP
Nancy Leveson, publie en 2002 (Leveson, 2002, 2004) un modèle d’accident
STAMP (Leveson, 2012) basé sur la théorie des systèmes, considérée comme un moyen
utile d’analyse des accidents. Cette théorie appréhende un système comme une structure
hiérarchique dans laquelle chaque niveau impose des contraintes de sécurité sur
l’activité du niveau inférieur. Les modèles d’accident fondés sur la théorie des systèmes
considèrent que les accidents résultent des interactions incontrôlées entre les différents
niveaux de la structure d’un système. Dans ce contexte, les accidents résultent alors
d’un problème de contrôle au sein du système. Ce cadre permet alors d’évaluer les
actions commandées par une structure de contrôle et d’identifier les mécanismes
défaillants sur les modes d’imposition et d’application des contraintes de sécurité. Pour
cela, dans cette partie, nous allons introduire les trois concepts de bases à l’origine de
ce modèle : les contraintes de sécurité, la structure hiérarchique et les modèles de
contrôle des processus.
64
4.2 Modélisation de la structure hiérarchique
Le système chargé d’imposer les contraintes de sécurité doit être modélisé sous
forme d’une structure hiérarchique. La figure 2-2 montre un exemple de structure de
contrôle (Hardy, 2011a, 2016, Hardy and Guarnieri, 2011a, 2011b, 2011c, 2013). Dans
cet exemple, il existe deux structures de contrôle. La structure A, impose les contraintes
de la phase développement et conception, la structure B impose les contraintes de la
phase exploitation. Leveson (Leveson, 2016) souligne que les installations industrielles
(Processus physique) contemporaines disposent des systèmes de contrôle automatiques
ou semi-automatiques avec superviseur humain. Comme le montre le cadre F,
l’opérateur peut avoir une action commandée directe sur le processus contrôlé (flèches
pointillées) ou à travers une interface à distance. L’actionneur exécute les actions
commandées par le système de contrôle. Leveson explique que les actionneurs peuvent
être des opérateurs humains ou des machines. Les capteurs fournissent l’information sur
l’état du processus contrôlé. Les automates et contrôleurs commandent le processus
d’imposition des contraintes de sécurité sur les activités et opérations. Chaque
composant de cette structure est chargé d’assumer ces responsabilités dans le processus
de gestion de la sécurité. Cette structure peut encourir des modifications au fil du temps,
cependant il faut veiller à ce que les contraintes de sécurité en place ne soient pas
négativement affectées. Leveson confirme que les accidents surviennent souvent après
un changement dans une structure de contrôle. Dans une entreprise, les systèmes de
management de la sécurité fournissent les procédures liées à la gestion du changement.
Ces procédures, souvent mal suivies et non strictement appliquées, traitent uniquement
les changements planifiés et prévus. Les imprévus liés à l’environnement et au
comportement humain doivent aussi être adressés dans ces procédures pour empêcher
les accidents. STAMP fournit une démarche pour traiter cette problématique. (Leveson,
2011) considère aussi que la culture de sécurité est un aspect important qui doit être
imposé au sein d’une structure comme partie intégrante de contrôle de la sécurité.
65
Figure 2-2 Structure hiérarchique (Hardy, 2010; Leveson, 2011)
66
implémenté au sein d’un système de contrôle automatisé. Pour les opérateurs humains,
c’est l’équivalent des procédures et du modèle mental. Ces modèles déterminent donc
les étapes pour procéder au contrôle du système. En théorie du contrôle, les systèmes
ouverts sont considérés comme éléments interdépendants qui sont maintenus dans un
état d'équilibre dynamique par boucles de rétroaction et de contrôle. Quatre conditions
sont requises pour le contrôle des processus industriels à travers l’imposition de
contraintes de sécurité :
- Condition sur l’objectif : Le contrôleur doit avoir un objectif ou des
objectifs (par exemple, imposer l’application des contraintes de sécurité dans le
système).
- Condition d’action : Le contrôleur doit être en mesure d'affecter l'état du
système. En ingénierie, les actions de contrôle sont mises en œuvre par les
actionneurs.
- Condition sur le modèle : Le contrôleur doit être (ou contenir) le modèle
du système
- Condition d’observabilité : Le contrôleur doit être en mesure de vérifier
l'état du système. Dans le domaine de l'ingénierie les informations sur l’état du
processus contrôlé sont fournies par des capteurs.
Le modèle de processus doit contenir les informations liées à l’imposition des
contraintes, aux variables mesurées de l’état du système et les modes de changement
d’état du processus contrôlé. Le modèle de processus est un moyen à disposition du
système de contrôle pour générer les actions commandées. Le modèle de processus doit
être implémenté dans tous les systèmes de contrôle qui composent la structure
hiérarchique.
67
Superviseur Humain Superviseur Humain
(Contrôleur) (Contrôleur)
Modèle Modèle
Modèle de Modèle de
d'automati d'automati
Processus Processus
sation sation
Affichages Contrôles
Processus Processus
Contrôlé Contrôlé
Sorties Entrées Sorties Entrées
Processus Processus Processus Processus
Perturbations Perturbations
(a) Automatisation émettant directement des commandes sous (b) contrôle humain avec l'assistance automatisée
la supervision d’un contrôleur humain
68
5. Classification factorielle des accidents selon STAMP
STAMP suppose que les infractions aux contraintes de sécurité provoquent les
accidents au sein d’un système. Les infractions résultent des défaillances et des
dérèglements techniques, des perturbations provoquées par l’environnement, ou des
dysfonctionnements provoqués par l’interaction des composants du système. Sur
l’ensemble de la structure hiérarchique, les comportements à risque résultent de
l’absence de contraintes, ou des modes inappropriés d’imposition d’une contrainte
conduisant ainsi à son infraction.
69
Les facteurs de causalité des accidents peuvent être divisés en trois catégories
générales : (1) le fonctionnement du système de contrôle, (2) le comportement des
actionneurs et des processus contrôlés, et (3) la communication et la coordination entre
les contrôleurs et les décideurs. Lorsque les opérateurs humains sont impliqués dans la
structure de contrôle, le contexte et les mécanismes qui influencent le comportement
jouent un rôle important dans l’analyse des causes de l’accident. (Figure 2-5)
70
5.1.1 Des données d’entrées dangereuses
Chaque contrôleur de la structure de contrôle hiérarchique est contrôlé par les
contrôleurs du niveau supérieur. Ces contrôleurs peuvent manquer d’information sur le
processus à emprunter pour préserver la sécurité du système.
71
pas simplement au système technique mais aussi au niveau du système de conception et
le développement.
6.1 STPA
L’analyse des dangers STPA (Hardy, 2010; Samadi, 2012b) est un processus
itératif fondé sur le modèle d’accident STAMP permettant d’analyser les origines et les
causes d’un accident. Dans STPA, le système est vu comme un ensemble de boucles de
contrôle interagissant entre elles. L’accident se traduit par un contrôle inadéquat.
L’objectif étant, dans une démarche d’enquête accident, de mettre en exergue les actions
de contrôle constituant la cause d’une migration du système vers l’état accidentel.
72
Toute analyse d’accident STPA débute par une identification des dangers
« système » afin de les traduire en contraintes de sécurité à un niveau stratégique.
L’étape suivante définit la structure de contrôle de la sécurité en mettant en évidence les
contrôles et rétroactions à l’œuvre au sein du système. Cette structure de contrôle de la
sécurité est utilisée comme un « guide » pour effectuer l’enquête et chaque contrôle de
la hiérarchie est évalué en matière d’incidence. Une identification des actions de
contrôle inadéquates sert à préciser les contraintes de sécurité inadéquatement
appliquées. Enfin, après avoir identifié les actions de contrôle dangereuses ayant pu
mener à l’accident, des recommandations sont formulées.
73
accident et détecter si le niveau de sécurité a atteint un niveau inacceptable menant
irrémédiablement à l’accident. Enfin, ces modèles permettent d’évaluer les impacts
potentiels des changements et des décisions ayant modifié la structure d’un système, le
faisant migrer vers un état accidentel.
74
effectuée sur une conception existante. Pour plusieurs contrôleurs du même composant
ou contrainte de sécurité, cela permet d’identifier les conflits potentiels et les problèmes
de coordination.
Examiner comment les contrôles en place pourraient se dégrader au fil du temps et de
construire dans le domaine de la protection, y compris :
- Les procédures de gestion des changements pour s'assurer que les
contraintes de sécurité sont appliquées dans les changements prévus ;
- Les audits de performance, les audits opérationnels et les hypothèses qui
résultent d’une démarche d'analyse des risques permettent de déceler les causes
à l’origine de la transgression des instructions de sécurité ;
- Analyse de l'incident pour retrouver la trace des anomalies sur les
dangers existants à la conception du système.
75
doit inclure les rôles et les responsabilités de chaque acteur du système, ainsi
que les procédures fournies dans le but de contrôler la sécurité de l’installation.
4. Déterminer les événements conduisant à la perte de contrôle.
5. Analyser la perte au niveau du système de l’installation physique : il s’agit
d’identifier la contribution à l’accident : des manques de contrôle physique et
opérationnel, des pannes physiques, des interactions dysfonctionnelles, défauts
de communication et de coordination, perturbations non gérées. Il faut aussi
déterminer pourquoi les contrôles physiques en place étaient inefficaces pour
prévenir le danger.
6. Après avoir dessiné la structure de contrôle hiérarchique de la sécurité de
l’installation technique, la démarche consiste à parcourir chaque niveau de la
structure échoue dans l’application de mesure de contrôle de la sécurité. Le
modèle suppose pour chaque directive de sécurité, aucune instruction n’a été
soumise soit les acteurs de la structure de contrôle n’applique pas les
instructions recommandées. Le processus décisionnel et les commandes
inadéquatement exécutées sont alors étudiés. Pour cela, il suffit d’enquêter les
informations dont dispose le décideur ainsi que toute information qui n'était pas
disponible, le contexte et les influences sur le processus décisionnel,
7. Évaluer la coordination et la communication entre les opérateurs au moment de
l’accident.
8. Identifier les changements dans le système lié à l’affaiblissement de la structure
de contrôle de la sécurité au cours du temps.
9. Proposer des recommandations.
76
· Interactions dysfonctionnelles, défaillances, et les processus décisionnels
incorrects conduisant à une déviance dans l’exécution de la procédure
· Raisons pour les actions de contrôle défectueux et les interactions
dysfonctionnelles
- Défauts d'algorithme de contrôle
- Modèles de processus ou interface incorrectes.
- Mauvaise coordination ou communication entre plusieurs contrôleurs
- Défauts de canal de référence
- Défauts de rétroaction
Voir l’annexe 1 pour un exemple d’application CAST à l’analyse de
l’accident de la bouée de déchargement du FPSO DALIA
6.3 Le logiciel XSTAMPP
Le logiciel XSTAMPP a été développé par Asim Abdelkhaleq (Abdulkhaleq et
al., 2015 ; Abdulkhaleq and Wagner, 2015a, 2015b, 2014a, 2014b; Kraus et al., 2015).
Abdulkhaleq est un doctorant et assistant chercheur à la faculté de technologie de
l’Université de Stuttgart. Ses travaux de thèse ont permis de concevoir un prototype de
véhicule autonome dont l’étude des risques a été conduite à l’aide de STAMP. Il a
développé une plateforme logicielle extensible pour fournir un support méthodologique
à la mise en œuvre de STAMP (STPA et CAST) et afin d'encourager l’application de
cette technique par les analystes de sécurité dans les différents domaines du secteur
industriel. Trois autres outils de support à STPA ont été développés depuis et ont été
présentés à la Troisième Conférence Internationale STAMP en 2014 au MIT. Ils sont
brièvement décrits ci-après.
77
d’une action dangereuse commandée par le système de contrôle (Suo and Thomas,
2014) .
6.5 SafetyHAT
Volpe (2014)a développé SafetyHAT, pour faciliter l’usage de STPA.
SafetyHAT est élaboré sur un cadre d’étude spécifique aux systèmes de transports.
C’est un support qui guide dans l’élaboration de la démarche d’analyse des risques
STPA.
78
Figure 2-7 Interface principale du logiciel SafetyHAT
6.6 ASTPA
ASTPA est un module de XSTAMPP qui sert de support pour élaborer les
étapes de STPA telles qu’elles sont proposées par Leveson (Leveson, 2011). L’interface
permet de suivre l’intégralité des étapes et de documenter les principes fondamentaux
de la démarche de l’analyse des risques. Ce logiciel permet aussi de concevoir le
diagramme de la structure de contrôle, de documenter les actions dangereuses et les
contraintes de sécurité. Il permet aussi d’intégrer les modèles de processus au sein des
systèmes de pilotage et de contrôle.
79
Figure 2-8 Interface du logiciel XSTAMPP pour une étude STPA
7. Conclusion
Ce chapitre présente la théorie des systèmes et le modèles d’analyse des risques
et de prévention des accidents STAMP. Selon Leveson « l'hypothèse qui sous-tend le
modèle STAMP consiste à considérer que la théorie du système est un moyen utile pour
analyser les accidents ». L’approche de maîtrise de la sécurité, proposé par ce modèle,
suppose de traiter les problèmes de manque de contrôle par le biais d’une structure
hiérarchique. Ce chapitre expose les concepts de base de ce modèle à savoir (les
contraintes de sécurité, la structure hiérarchique et le modèle de processus). Ce chapitre
présente les démarches pour une analyse STAMP et les logiciels développés pour la
compilation des données de l’analyse. Le chapitre 3 présente le système d’étude qui va
faire l’objet d’une analyse STPA.
80
CHAPITRE 3: PRESENTATION DU SYSTEME D’ETUDE
La directive Seveso est un acte normatif pris par les institutions de l’Union
Européenne. Cette directive impose aux Etats Membres de l’Union Européenne
d'identifier les sites industriels et de prendre des mesures de prévention des risques
d'accidents majeurs. En France, la directive Seveso a notamment été transposée par le
biais du Code de l’Environnement et de l’arrêté du 10 mai 2000 relatif à la prévention
des accidents majeurs dans les installations classées.
Les installations visées par l'article L. 511-1 sont définies dans la nomenclature
des installations classées établie par décret en Conseil d'État, pris sur le rapport du
ministre de l’écologie, de l’environnement et du développement durable, après avis du
Conseil Supérieur de la Prévention des Risques Technologiques (CSPRT). Ce décret
soumet les installations à autorisation, à enregistrement ou à déclaration suivant la
gravité des dangers ou des inconvénients que peut présenter leur exploitation. Les sites
industriels à hauts risques sont soumis à une autorisation pour fonctionner. Cette
autorisation est décrétée sous forme d’un arrêté préfectorale fixant les dispositions que
81
l’exploitant devra respecter pour assurer la protection des vulnérabilités et de
l’environnement.
1. Situation règlementaire
L’établissement est classé SEVESO seuil haut soumis au régime d’Autorisation
avec Servitude d’utilité publique (AS) ; il s'agit d'une Installation Classée pour la
Protection de l’Environnement. L’exploitant doit donc fournir une étude de danger,
définir une politique de prévention des accidents majeurs ; de s’assurer du maintien du
niveau de maîtrise des risques tout au long de la vie de l’installation et d’informer les
exploitants d’installations classées voisines des risques d’accidents majeurs identifiés
dans l’étude de dangers, dès lors que les conséquences de ces accidents majeurs sont
susceptibles d’affecter lesdites installations. Le Préfet impose par arrêté aux
établissements Seveso seuil haut la mise en place d’un système de gestion de la sécurité
(SGS).
82
Le code de l’environnement impose qu’un plan d’opération interne (POI) soit
mis en place par l’exploitant, et l’article R741-18 du code de la sécurité intérieure
impose qu’un plan particulier d’intervention (PPI) soit mis en place par le préfet. Les
arrêtés préfectoraux qui autorisent l’exploitation du site sont présentés dans la Table 3-
1.
Table 3-1: Arrêtés préfectoraux de l’établissement étudié
Activité autorisée Exploiter un dépôt de 400 m3 de Aménagement d’une aire de Donne acte de l'étude de dangers
GPL et 50 tonnes de bouteilles stationnement camions petits de 2007 et prescrit des mesures
de propane et de butane porteurs sécurisée complémentaires de réduction des
risques
83
étant supérieure ou égale à 200 t.
Installation de remplissage ou
1414 2 postes de chargement 1 poste de chargement/ A 1 km
de distribution de gaz
déchargement camion
inflammables liquéfiés :
2. Installations de chargement ou
déchargement desservant un dépôt
de gaz inflammables soumis à
autorisation
Stockage en réservoirs Réservoirs de gasoil, utilisé pour les chariots
1432 DC
manufacturés de liquides automoteurs :
inflammables de la catégorie
500 l
de référence :
Dès 2008, les inspecteurs des installations classées ont analysé l’étude de
dangers du site et des mesures de maîtrise des risques (réduction à la source) ont été
actées dans un arrêté préfectoral du 22/05/2009.Après prise en compte de la démarche
de maîtrise des risques à la source, le Préfet a demandé l’élaboration d’un PPRT par
l’arrêté préfectoral du 16/10/2009 par lequel il a fixé le périmètre d’étude du PPRT. Le
périmètre d’étude ou périmètre d’exposition aux risques est symbolisé par un cercle
rouge de rayon 260 M au Nord et 250 M au Sud. Le site étant classé sous le régime
(AS) la loi n° 2003-699 du 30 juillet 2003 relative à la prévention des risques
technologiques et naturels et à la réparation des dommages rend obligatoire la
réalisation d'un Plan de Prévention des Risques Technologiques (PPRT) pour les
installations Seveso seuil haut afin de :
- Limiter l’urbanisation future autour du site ;
- Renforcer la protection offerte par le bâti existant ;
- Diminuer la population exposée lorsque cela est nécessaire.
84
1.1 Organisation en matière de prévention des risques majeurs
La réglementation associée aux établissements Seveso, et plus particulièrement
aux établissements Seveso seuil haut, impose la mise en place d’une organisation
spécifique à la prévention des risques majeurs, intégrant aussi les aspects intervention
en cas d’incident (Sanseverino-Godfrin, 2010). Ainsi, les exploitants des établissements
Seveso doivent mettre en place une politique spécifique à la prévention des accidents
majeurs et, en ce qui concerne les établissements seuil haut, un système de gestion de la
sécurité et un plan d’opération interne. Les préfets doivent, quant à eux, mettre en place
un plan particulier d’intervention tandis que l’inspection des installations classées doit
réaliser des visites périodiques de contrôle de ces établissements.
85
ressources sont définis pour mettre en œuvre la politique de prévention des accidents
majeurs.
86
son évolution, ainsi que, le cas échéant, la mise à la disposition de l’État d’un
poste de commandement aménagé sur le site ou au voisinage de celui-ci;
- Les mesures incombant à l’exploitant à l’égard des populations voisines et
notamment, en cas de danger immédiat, les mesures d’urgence qu’il est appelé à
prendre avant l’intervention de l’autorité de police (diffusion de l’alerte,
interruption de la circulation et éloignement des personnes au voisinage du site);
- Les modalités d’alerte et d’information des autorités d’un État voisin s’il est
concerné ;
- Les dispositions générales relatives à la remise en état et au nettoyage de
l’environnement à long terme après un accident l’ayant gravement endommagé.
87
Figure 3-1 Installations et servitudes techniques
88
2.1 Réservoir sous-talus de propane
Le propane est stocké à température ambiante sous pression de vapeur saturante
dans un réservoir sous talus à axe horizontal de capacité nominale de 400 m3 (Figure 3-
2). Le réservoir repose sur un lit de sable. L’épaisseur du talus de terre est d’un mètre
minimum ; cette épaisseur est contrôlée annuellement. Le réservoir est protégé contre la
corrosion externe par un revêtement en bitume et fil de verre de 6 mm d’épaisseur, ainsi
que par une protection cathodique par électrodes sacrificielles.
2.1.1 Dimension
Le RST est constitué par une virole cylindrique terminée à chaque extrémité par
une demi-sphère avec un soutirage équipé d’une double enveloppe.
Ses dimensions sont :
- Longueur totale : 33,12 m
- Diamètre externe : 4 m,
89
2.1.2 Pressions
Les conditions de dimensionnement retenu sont les suivantes :
- Pression maximale de service : 12 bars relatifs,
- Pression d’épreuve : 18 bars relatifs
- Pression d’utilisation : -0,5 bar à 10 bars relatifs.
90
(niveau bas), 84,5% (niveau d’exploitation), 89% (niveau haut), 94% (niveau
très haut), en partie haute,
- Une jauge de niveau indépendante avec deux seuils d’alarme, niveau haut à 89%
et très haut à 94%,
2.2 Pomperie
91
leur protection contre les risques de cavitation en cas de baisse de la pression
d’aspiration. Les pompes et le compresseur sont isolables du réseau de
canalisation par des vannes manuelles. Ils s’arrêtent sur perte d’énergie
électrique.
2.3 Canalisation
Les canalisations sont aériennes. Leur diamètre est indiqué dans la table ci-dessous :
Table 3-3:Canalisation
État
Diamètre (en pouce) Longueur
Canalisation (L : Liquide, G :
(m)
gazeux)
Ligne depuis le L 4 20
réservoir vers les
pompes
Ligne depuis les L 4 35
pompes vers les postes
de chargement
Ligne de puis le G 3 30
réservoir vers le
compresseur
Ligne depuis le G 3 27
compresseur vers le poste
de chargement
92
Les canalisations sont en acier norme NFA 49211 nuance TUE 250 B. Les
canalisations phase liquide sont pourvues de soupapes de sécurité montées sur les
lignes d’expansion thermiques avec clapet de décharge (retour sur ligne gazeuse). A
leurs extrémités, elles sont munies de vannes automatiques à sécurité positive et à
sécurité feu au niveau du réservoir, des postes de chargement et de déchargement.
Elles sont toutes reliées à la terre. Les canalisations sont aériennes. Le site est constitué
de manière à ce que les canalisations soient protégées de tout risque de collision avec
les camions en mouvement sur le site (rack, trottoir). Les canalisations aériennes
présentent effectivement des avantages en termes de maintenance et d’inspection et
permettent de limiter les risques de corrosion. De plus, l’arrêté ministériel du 2 février
1998 relatif aux prélèvements et à la consommation d'eau ainsi qu'aux émissions de
toute nature des installations classées pour la protection de l'environnement soumises
à autorisation précise que : « Les canalisations de transport de fluides dangereux ou
insalubres et de collecte d'effluents pollués ou susceptibles de l'être sont étanches et
résistent à l'action physique et chimique des produits qu'elles sont susceptibles de
contenir. Elles sont convenablement entretenues et font l'objet d'examens périodiques
appropriés permettant de s'assurer de leur bon état. Sauf exception motivée par des
raisons de sécurité ou d'hygiène, les canalisations de transport de fluides dangereux à
l'intérieur de l'établissement sont aériennes ».
93
déchargement camions s'effectue par l'intermédiaire d'un bras liquide (2 pouces et d'un
bras gazeux (2 pouces).
94
Un système de mise à la terre (DCMT) est implanté sur chaque poste.
La fermeture des clapets de fond des camions est déclenchée par la fonte d’un
fusible thermique, par action sur le frein à main parking du camion, par l’action
sur le bouton d’arrêt d’urgence ou par la mise en sécurité du site,
Un dispositif de collecte des purges des bras au-dessus des soupapes,
Un dispositif homme-mort (une pression du bouton par le chauffeur est
nécessaire toutes les 30 secondes pour poursuivre le transfert).
En outre les camions sont dotés du dispositif CISC « Coupleur Intelligent Sécurité
Camion » permettant de coupler la fermeture du clapet de fond des camions à la mise en
sécurité du site.
Le chargement des camions se fait par le ciel gazeux des citernes (chargement en
pluie) à l’aide d’un bras liquide 2 pouces et via une pompe située sur l’aire de pompage.
Le déroulement des opérations de chargement et déchargement est détaillé plus
précisément au paragraphe suivant.
95
Figure 3-5 Présentation des deux phases de déchargement des camions gros
Porteurs
96
Le détail des opérations effectuées est décrit dans les étapes suivantes :
97
- Les vannes se ferment et les pompes s’arrêtent
c. Débranchement
- Fermeture de la vanne et du clapet interne du camion,
- Fermeture de la vanne d'extrémité de bras liquide,
- Purge de l'extrémité du bras liquide,
- Débranchement du bras et du CISC puis du DCMT (rangement sur leur support),
- Émission du bulletin vrac si le chargement est correct.
a. Début de déchargement
- Calage du véhicule
- Vérification du bon positionnement de la vanne 4 voies sur la position
"déchargement",
- De l'absence de liquide dans le ballon anti-envahissement,
- Branchement de la pince du DCMT sur la prise de la citerne (attendre que le
voyant blanc s'allume),
- Branchement du CISC,
- Branchement des bras liquide et gazeux aux orifices de remplissage (vérification
que les deux bras sont bien sortis),
- Ouverture du clapet de fond et les vannes de la citerne,
- Vérification de l'étanchéité des raccords,
- Ouverture de la vanne d'extrémité des bras liquide et gazeux afin d'équilibrer la
pression entre le camion et le réservoir,
- Enclenchement du bouton "Marche" de la télécommande à cordon,
- Mises-en route du compresseur.
b. Fin de déchargement
- Enclenchement du bouton "Arrêt",
- Les vannes de pied de bras se ferment,
- Arrêt du compresseur,
- Fermeture de la vanne de la canalisation liquide de la citerne et du bras liquide,
98
- Passage de la vanne 4 voies du compresseur sur la position "Aspiration",
- Aspiration de la citerne jusqu'à une pression de 2 bar,
- Les vannes de pied de bras se ferment automatiquement,
- Arrêt du compresseur.
c. Débranchement
- Fermeture de la vanne d'extrémité du bras gazeux,
- Fermeture de la vanne de la canalisation gazeuse et les clapets internes du
camion-citerne,
- Purge de l'extrémité des bras liquide et gazeux,
- Débranchement des bras (rangement sur leur support),
- Remise des bouchons sur les orifices de la citerne,
- Retour de la vanne 4 voies du compresseur sur la position "Déchargement",
- Débranchement du CISC,
- Débranchement le câble de mise à la terre et l'accrocher sur son support,
- Enlèvement et rangement des cales.
99
D’un réseau de détection gaz comprenant 16 détecteurs repartis sur le site, dont
les informations sont traitées par une ou des centrales gaz. Ce réseau a été
modifié au deuxième semestre 2013 pour inclure 10 nouveaux détecteurs gaz
soit un total de 26 détecteurs,
D’un réseau de détection incendie comprenant 5 détecteurs flamme repartis sur
le site, dont les informations sont traitées par une ou des centrales flammes,
D’alarmes :
Protection du travailleur isolé (PTI),
Anomalie centrales détection incendie, gaz,
Anti-intrusion,
Démarrage GMPI.
D’instruments de mesure :
La mesure de pression du réservoir (pression haute),
La mesure de température du réservoir (température haute),
La mesure de niveau dans le réservoir (niveau très bas, bas, d’exploitation,
haut, très haut),
La mesure de niveau indépendante (niveau haut et très haut).
De vannes automatiques munies de fusibles thermiques, fondant en cas de
source de chaleur à proximité et entraînant la fermeture des vannes.
Tous ces dispositifs déclenchent une alarme et certains entraînent la mise en sécurité
du site. La mise en sécurité du site correspond à la coupure de l'ensemble des
installations électriques non nécessaires à la sécurité, à l'arrêt de tous les transferts et à
la fermeture instantanée de toutes les vannes asservies aux dispositifs de sécurités
automatiques.
Lors de la coupure électrique, le circuit d’air comprimé est rapidement purgé, il
commande alors des électrovannes, fermées en fonctionnement normal de l’installation
entraînant :
100
L’arrêt des pompes et des compresseurs,
La fermeture des vannes d’emplissage et de soutirage de la sphère,
La fermeture des vannes de pieds de bras des postes camions,
La fermeture des clapets de fond des camions,
Le démarrage automatique des pompes incendie,
La mise en pression du réseau incendie,
Le déclenchement de l’arrosage.
101
4.2 Les Détecteurs gaz
La détection de gaz est gérée par centrale d’alarme placée dans la salle de
contrôle de l’installation. Le câblage est à sécurité positive (mise en sécurité du site en
cas de défaut).
Le site comprend actuellement 16 détecteurs de gaz répartis sur l’ensemble du site
(Figure 3-7) ,10 nouveaux détecteurs de gaz ont été installés durant le 2e semestre
2013. 26 détecteurs de gaz seront donc présents sur le site à la fin 2013.
Deux niveaux de déclenchement des détecteurs gaz existent sur le site.
. La chaîne de détection gaz (Figure 3-6) est composée :
Les détecteurs gaz
L’unité de traitement des signaux transmis par les détecteurs
Les actionneurs et les éléments terminaux : les électrovannes, les vannes et les
clapets internes des réservoirs
102
l’ensemble des détecteurs et la mise en sécurité à partir d’un détecteur est satisfaisant
pour s’assurer du fonctionnement de la chaîne de détection gaz à partir de n’importe
quel détecteur.
103
Figure 3-6 La chaîne de détection de gaz
104
Figure 3-7 Implantation détecteurs
105
Table 3-5: Cause et conséquence du déclenchement des alarmes de détection fuite
de gaz
Alarme Cause Conséquence
Préalarme gaz à 20% de la Fuite d'un organe Arrêt des pompes et des compresseurs
LIE, qui se déclenche suite à de transfert, gaz,
une fuite de gaz dont la Purge en Fermeture des vannes à sécurité positive,
concentration atteint 20% de exploitation Fermeture du clapet de fond des
la LIE Soupape de camions,
sécurité en Signal sonore ou visuel,
échappement Consignation sur le superviseur,
Joint défectueux Intervention de l’exploitant pendant les
heures ouvrées, ou envoi d’une alarme
vers la société de télésurveillance et
intervention de l’astreinte PZF en dehors
des heures ouvrées.
106
4.3 Les détecteurs de flammes
La chaîne de détection flamme (Figure 3-8) est composée des éléments suivants :
Le capteur optique détecte la présence de flammes par variation des fréquences
d’oscillation dans la pièce
L’unité de traitement des signaux
Les actionneurs et les éléments terminaux : les électrovannes, les vannes, les
clapets internes des réservoirs.
L’arrosage (GMPI, réseau d’eau, réserve incendie)
107
4.3.3 Arrosage
Un organisme extérieur réalise une maintenance semestrielle. Une liste des
vérifications réalisées (à l’arrêt et en cours d’essai) est remise à l’exploitant.
En interne, le démarrage des GMPI est testé tous les 15 jours, en mode automatique,
afin de valider le démarrage du groupe motopompe ainsi que la mise en pression du
réseau incendie sur un déclenchement d’alarme. Un contrôle des bassins est réalisé tous
les trois ans : nettoyage et curage du bassin état de la bâche.
108
Figure 3-8 La chaîne de détection de flamme
109
Table 3-6: Cause et conséquence du déclenchement des alarmes de niveau RST
110
bar. d’une alarme vers la société de télésurveillance et intervention de
l’astreinte PZF en dehors des heures ouvrées.
5. Conclusion
Ce chapitre décrit le système d’étude qui va faire l’objet d’une analyse STPA
dans le chapitre suivant. Nous avons présenté la réglementation européenne relative aux
établissements industriels les plus dangereux (dits « Seveso ») qui impose aux États
membres de prendre des mesures pour que la sécurité de leurs établissements. Nous
avons décrit le site industriel en présentant sommairement des différents composants
techniques
111
112
CHAPITRE 4: DEMARCHE DE MODELISATION STPA
113
Les accidents sont décrits en fonction d’une situation ultime à éviter et non sous
forme d’évènements intermédiaires. Par exemple, la fuite sur une bride6 (une des
composantes du système GPL) ne représente pas un accident au niveau de l’intégralité
du système technique, cependant cela reste bien une cause d’accident au niveau d’un
composant du système.
114
humaine). Il existe plusieurs facteurs impliqués dans de telles pertes qui sont
indépendants de la volonté des concepteurs de l’installation et de l’exploitant, comme
par exemple les conditions atmosphériques telles que la vitesse ou la direction du vent
au moment de la libération de matière dangereuse. D’autres facteurs sont impliqués lors
d’un accident, par exemple les facteurs liés à l’urbanisation et le nombre de populations
exposées installées autour de l’installation. En France, pour les ICPE (Installations
Classées Pour l’Environnement) ces facteurs peuvent être sous le contrôle de l’autorité
locale ou de l’État. Les concepteurs des ICPE ont la responsabilité de fournir les
informations nécessaires pour la conception et le fonctionnement des équipements,
d’établir des plans et des procédures appropriées aux situations d’urgence. Sa
responsabilité première est de concevoir et d’implémenter des dispositifs qui empêchent
toutes pertes de confinement.
Les conditions environnementales qui contribuent à l’accident peuvent changer
au fil du temps. L’établissement potentiellement dangereux peut être initialement situé
loin d’une concentration de population, mais au cours d’un certain temps, les
populations ont tendance à s’installer autour de l’installation afin de vivre à proximité
de leur emploi par exemple ou parce que les prix des terrains peuvent être moins élevés
dans les régions éloignées ou à proximité des usines. Le concepteur de l’installation n’a
généralement aucun contrôle sur ce phénomène de déplacement des populations ainsi,
on peut considérer le système délimité par l’établissement de stockage et qualifier de
risque tout rejet non contrôlé de GPL de l’installation. Si la conception d’un système de
contrôle de la sécurité est envisagée pour l’ensemble du système sociotechnique, le
concepteur doit évaluer qu’il y a un nombre plus important de risques et de dangers
potentiels et qu’il y a une augmentation des mesures de prévention. Par exemple le
concepteur peut demander par le biais de la réglementation liée au zonage du territoire
de limiter les bâtis autour du site ou de prévoir des plans d’évacuation d’urgence et de
prise en charge médical suite à un accident. L’objet de cette discussion est d’expliquer
en quoi la définition des dangers associés à un système est une mesure arbitraire mais
importante permettant de garantir la sécurité du système et en quoi un effort
d’ingénierie est nécessaire pour étudier l’ensemble du système sociotechnique. Une des
premières étapes de conception d’un système, après la définition d’un accident ou de la
perte et la délimitation des frontières des sous-systèmes, est d’identifier les risques et les
115
dangers qui doivent être éliminés ou contrôlés par les concepteurs de ce système ou
sous-système.
D’après cette définition un danger peut donc être expliqué sous la forme de
conditions et d’évènements. La figure 4-1, explique que la différence entre les
événements et les conditions résident dans le fait que les événements sont limités dans
le temps, alors que les conditions persistent et changent quand un événement se produit.
Par exemple sur un site de stockage de GPL, le danger serait la fuite de matière
dangereuse confinée (évènement) ou la présence d’une source d’ignition dans
l’environnement (condition).
116
Selon STAMP la structure de contrôle de la sécurité doit être hiérarchique, de
sorte que pour un niveau élevé donné, le contrôleur doit assurer ses responsabilités en
déclenchant les actions commandées de contrôle du processus ou du contrôleur du
niveau hiérarchique inférieur. Le feedback est communiqué par les composants de
niveau inférieur aux contrôleurs de niveau supérieur pour décider du type d’action
commandée à fournir (Figure 4-2).
117
Figure 4-3 Boucle de contrôle de la sécurité
La figure 4-3 montre les modèles des processus requis pour commander le
fonctionnement des vannes. Sur les bases du modèle des processus, le système de
contrôle lance une action commandée.
En fonction des valeurs des variables du modèle de processus, on peut évaluer si
les commandes émises par le système de contrôle sont potentiellement dangereuses. Par
exemple, l’instruction « ouverture de la vanne » peut être dangereuse dans un contexte
où les valeurs des variables du modèle des processus sont : « le camion est stoppé, pas
d’urgence, le bras de transfert est arraché ».
Dans ce contexte, l’ouverture de la vanne est une mesure dangereuse. Cette
structure nous permet par la suite d’identifier les dangers générés par une action
commandée par le système automatisé et les dangers dans le cas de l’inaction du
système automatisé.
118
1.4 Identification des dangers sur les instructions contrôles-commandes du
système (étape 1)
Action de 1) N’est pas initiée 2) Est initiée 3) Est initiée hors séquence, trop 4) Longuement
contrôle tôt ou trop tard déployée ou
interrompue
prématurément
Ouverture des Les vannes d'extrémité des Sont Sont commandées ouvertes trop tard N/A
vannes bras liquides et gazeux ne commandées après la mise à la terre (L’ouverture
d'extrémité des sont pas commandées ouvertes des vannes du bras est asservie à la
bras liquide et ouvertes afin d'équilibrer la pendant détection d’une mise à la terre
gazeux pression entre le camion et l’arrachement effective,)
le réservoir,
du bras
119
Pour évaluer les actions commandées par les systèmes de contrôle, il faut éviter
de supposer que les barrières de sécurité implémentées au sein du système sont fiables
et appropriées. L’analyse STPA tend à divulguer les comportements qui peuvent
générer un danger dans un contexte défavorable. Les conditions défavorables sont les
cas où les barrières de sécurité implémentées au sein du site ne fonctionnement pas
correctement.
120
Table 4-2: Tableau de contextes concernant une action de type fournie par le
système de contrôle
Action de Mouvement Urgence Positionnement Dangers ?
Contrôle du camion du bras AC fournie AC fournie AC fourni
(AC) à tout trop tôt trop tard
moment dans ce dans ce
dans ce contexte contexte
contexte
Ouverture Camion en Pas Rangé Oui Oui Oui
de la vanne mouvement d’urgence
Camion en Urgence Rangé Oui Oui Oui
mouvement
Camion est Urgence Rangé Oui Oui Oui
stoppé
Camion est Pas Arraché Oui Oui Oui
stoppé d’urgence
Camion est Pas Branché Non Non Non
stoppé d’urgence
121
Table 4-3: Tableau de contextes l’inaction du système automatisé
Action de Mouvement Urgence Positionneme Statut du Danger si elle
Contrôle (AC) du camion nt du bras transfert n’est pas
fournie
Ouverture de Camion stoppé Pas d’urgence Branché Déchargement Non
la vanne n’est
pas initiée
122
actions requises pour préserver la sécurité du système ne sont pas mises en œuvre (étape
2).
Une fois que les contraintes de sécurité sont définies, il faut identifier les
facteurs qui peuvent contribuer à la violation des contraintes de sécurité. La figure 4-5
montre la boucle de contrôle où sont indiqués en général les types de facteur de
causalité d’un éventuel accident. Dans la figure, la ligne diagonale en bleu sépare deux
façons qui se complètent pour comprendre les facteurs de causalité liées à la violation
d’une contrainte de sécurité :
L’action commandée fournie par le contrôleur est dangereuse (partie
supérieure de la ligne diagonale bleue)
L’action commandée (sans danger) fournie par le contrôleur n’est pas
exécutée (partie inférieure de la ligne diagonale bleue)
Selon la démarche STPA, il faut étudier chacun des cas et identifier tous les
facteurs qui contribuent à la violation des contraintes de sécurité.
123
1.5.1 L’action commandée fournie par le contrôleur ou le système de contrôle est
dangereuse
Tous les facteurs qui peuvent déclencher une action à risque doivent être
identifiés. Par exemple pour l’action commandée suivante :
CD 1 : Les vannes sont commandées ouvertes pendant l’arrachement du bras de
transfert.
1.5.2 L’action commandée fournie est appropriée et requise, cependant elle n’est pas
appliquée ou exécutée correctement
Il faut identifier les facteurs qui contribuent à la violation des contraintes de
sécurité lorsqu’une action commandée appropriée est fournie par le système de contrôle.
124
1.7 Evaluer les composants de la structure hiérarchique
Au départ, l’approche STPA suppose la modélisation de la structure de contrôle
de la sécurité du système d’un point de vue macroscopique. Les actions de contrôle et
les feedbacks sont représentés à un niveau d’ordre général. Chaque étape de la
démarche STPA peut être appliquée par une approche itérative en mode top-down pour
intégrer des contraintes de sécurité selon les besoins.
2. L’étude de cas
L’étude de cas pour les travaux de recherche concerne l’application de la
démarche STPA sur un site de stockage de GPL. Le contrôle de la sécurité dans ce site
de stockage est automatisé et nécessite dans certains cas l’intervention d’un opérateur.
125
vanne à sécurité positive). L’une de ces vannes est implémentée à l’intérieur du
réservoir suivi d’un caplet anti-retour interne. Ces vannes automatiques sont munies de
fusibles thermiques fondant en cas de source de chaleur à proximité entrainant la
fermeture de ces vannes. En cas de coupure d’électricité suite à la mise en sécurité du
site, le circuit d’air comprimé est rapidement purgé, il commande alors les
électrovannes7 qui provoquent la fermeture de ces vannes, du compresseur et de la
pompe. La ligne de liaison du réservoir avec le compresseur8 110m3/h d est équipée de
ce même type de vanne (Figure 4-6).
Dans le cadre des ICPE, l’étude des dangers désigne l’identification des
évènements indésirables conduisant à des pertes. Elle permet d’indiquer pour chaque
7
Les électrovannes sont fermées en fonctionnement normal
8
Ce compresseur sert à équilibrer la pression entre le camion gros porteur et le réservoir
126
accident les composants concernés (réservoir de stockage, pompes). Dans l’étude de
danger menée par l’exploitant du site, une grille MMR (figure 4-7) est utilisée comme
modèle pour positionner chacun des accidents potentiels.
Le risque global du site peut être jugé comme acceptable dans le cas où :
Le nombre de phénomènes dangereux peut être ramené à 5 par la mise en
place de nouvelles mesures de maîtrise du risque,
127
Le niveau de probabilité des phénomènes dangereux situés en « MMR
Rang 2 » en cas de défaillance de l’une des mesures de maîtrise du risque est
conservé.
128
2.1.1 Le phénomène UVCE
Un UVCE (Unconfined Vapor Cloud Explosion) est une explosion de gaz à l’air
libre. Dans le cas d’un gaz inflammable, tel que les GPL, cette explosion produit :
Des effets thermiques,
Des effets de pression.
129
Tous les phénomènes de rupture de canalisation ou de fuite d’un GPL peuvent
engendrer un UVCE. La fuite peut être liquide ou gazeuse, mais à condition de fuites
équivalentes (pression, température, section de fuite). Une fuite en phase liquide produit
des nuages inflammables toujours beaucoup plus grands qu’une fuite en phase gazeuse,
car le débit rejeté est beaucoup plus élevé (pour les GPL dans des conditions ambiantes,
1 litre de phase liquide engendre de l’ordre de 250 litres de phase gazeuse).
130
Effet missiles : projection de fragments à des distances parfois très
importantes,
Effet thermique : dans le cas d’un BLEVE de gaz liquéfié inflammable,
rayonnement de la boule de feu,
131
dangereuse. L’augmentation de la température en présence de chaleur (H-2) est une
condition dangereuse qui peut provoquer chacun des accidents cités dans la partie
précédente (par exemple : la présence de chaleur un pic de pression dans l’installation
incendie et explosion). La détérioration, fatigue et corrosion du matériel (H-3) concerne
le dépassement des limites de sécurité dans l’exploitation des équipements et de
l’installation.
Table 4-5: Les dangers d’ordre général à prévenir dans ce système
Danger Accident
H-1 : Fuite de produit liquéfié ou non (gaz) A-1, A-2
H-2 : Augmentation de la température en présence de chaleur A-1, A-2, A-3, A-
H-3 : Détérioration, fatigue et corrosion du matériel A-3, A-4
4
H-4 : Panne et arrêt intempestive de l’installation A-4
132
Figure 4-9 Structure administrative et organisationnelle
9
Le Ministère de l’écologie, du développement durable et de l’énergie
133
Ce conseil concourt à l’élaboration, à la mise en œuvre et au suivi des politiques
publiques dans les domaines de la protection de l’environnement, de la gestion durable
des ressources naturelles et de la prévention des risques technologiques. Pour les
installations classées, le CoDERST est chargé d’émettre un avis par exemple sur
l’application du PPRT. Il permet de recueillir des avis extérieurs à l’administration et
d’engager un dialogue sur le dossier considéré.
134
d’isoler une fuite de gaz non enflammée. Le même principe pour la détection d’une
présence de flamme, la chaîne de sécurité permet de couper l’électricité industrielle
(alimentation des commandes des électrovannes, des pompes et des compresseurs), ce
qui entraîne la mise en sécurité du site. Elle entraîne également le démarrage des
moyens d’arrosage.
135
Le temps est un cas particulier sur lequel nous reviendrons. Il peut être exogène
(cas d’un simulateur temps réel lié à une horloge), ou endogène (si c’est le modèle qui
en commande l’avance, ce qui est typiquement le cas d’une simulation à événements
discrets).
Nous pouvons affiner l’analyse d’une variable exogène en analysant son
influence sur le système :
De la même façon, nous distinguerons dans les variables endogènes les variables
« indispensables » de celles qui n’ont qu’un but utilitaire :
Variables d’état : comme nous l’avons déjà vu, elles décrivent l’état du
système (ex. : pression, niveau, température...).
Variables statistiques ou variables informatives : elles ne sont pas
indispensables pour caractériser l’état du système, mais peuvent s’avérer utiles
pour le fonctionnement du modèle, l’information de l’opérateur ou le
dépouillement ultérieur des résultats de la simulation (ex. : la distance
parcourue).
Enfin, une caractérisation pourra être faite suivant la durée de vie des variables :
– Variables persistantes ou permanentes : elles existent et ont une valeur
significative pendant toute la durée d’une exécution de la simulation.
136
un pas de temps pour une simulation à temps discret).
137
situation et empêcher toute perte. En cas de présence de flamme, la chaîne de détection
de flamme doit être engagée pour la fermeture des vannes, le déclenchement de
l’arrosage... Pour cela, les informations sur les variables mesurées peuvent être aussi
transmises par le biais des capteurs de l’ensemble des chaînes de détection. Ces
informations sont nécessaires pour le processus décisionnel du contrôleur ou du système
pour déclencher la fermeture de la vanne.
138
Table 4-6: Les dangers liés à la commande de fermeture des vannes d’emplissage
Commande Dangers
Cause un danger si Cause un danger si elle Cause un danger si elle Cause un danger si elle
elle n’est pas est déclenchée est déclenchée hors est durablement
déclenchée séquence appliquée ou stoppée
prématurément
Fermeture des La fermeture de la La fermeture de la La fermeture de la N/A
vannes vanne n’est pas vanne est déclenchée vanne est déclenchée
d’emplissage déclenchée suite à une sans qu’il n’y ait de très tôt au moment où
fuite sur pipe fuite [H-4] la pression dans
[H-2, H-1, H-3] l’installation est
La fermeture de vanne
importante [H-2, H-3]
est déclenchée grâce
aux fusibles et non pas
La fermeture de la
aux électrovannes (en
vanne est déclenchée
panne) [H-2, H-1, H-3]
très tard après la fuite
139
dangereuse (lignes 2-8, colonne 6). Si pour des raisons données, les barrières de sécurité
ne fonctionnent pas, le système peut encourir les dangers (lignes 10-16, colonne 6). Ce
tableau est employé pour traiter les comportements dangereux. Par exemple, la ligne 1
colonne 6 de la table 8 l’action de fermeture de la vanne pendant une opération de
transfert est considérée dangereuse même si le contexte n’est pas dangereux (pas de
rupture, pas de fuite, le système de support opérationnel). A l’inverse le contexte décrit
à ligne 2, en cas de rupture de canalisation la colonne 6 n’est pas marquée comme
dangereuse puisque la fermeture de la vanne dans ce contexte est nécessaire pour éviter
l’accident.
140
Table 4-7: Table de contexte cas ou le système initie la commande de Fermeture des vannes
1 2 3 4 5 6 7 8
Action Canalisation Condition de Condition Statu des Action de contrôle Action de contrôle si Action de contrôle
De contrôle Et tuyauterie ligne du systèmes de Dangereuse? trop tard? dangereuse si trop
d’emplissage compresseur support de tôt?
sécurité
8 Rupture Fuite Fuite Opérationnel No H-1, H-2, H-3, H-4 H-3, H-4
9 Pas de Pas de fuite Pas de fuite Non Opérationnel H-2, H-4 H-2, H-4 H-2, H-4
rupture
10 Fermeture Rupture Pas de fuite Pas de fuite Non Opérationnel H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4
des vannes
11 Pas de Fuite Pas de fuite Non Opérationnel H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4
rupture
12 Pas de Pas de fuite Fuite Non Opérationnel H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4
rupture
141
13 Rupture Fuite Pas de fuite Non Opérationnel H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4
14 Pas de Fuite Fuite Non Opérationnel H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4
rupture
15 Rupture Pas de fuite Fuite Non Opérationnel H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4
16 Rupture Fuite Fuite Non Opérationnel H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4 H-1, H-2, H-3, H-4
142
2.6.2 Cas où le système ne génère pas la fermeture de la vanne (par commande)
Bien que le déclenchement d’une action par commande puisse être dangereux,
ne pas imposer l’application des contraintes de sécurité peut aussi s’avérer dangereux.
Le tableau 4-8 montre les dangers dans le cas où le système ne déclenche pas, par
commande, la fermeture de la vanne. Dans le cas d’absence de rupture ou de fuite, le
maintien de l’ouverture de la vanne n’est pas dangereux (ligne 1 et 9). Cependant en
cas de fuite ou de rupture, différents dangers peuvent être expérimentés en fonction de
la partie du système affecté. Si un composant de la canalisation et tuyauterie est cassé
et les vannes automatiques ne sont pas fermées, on peut témoigner alors des fuites dans
les différentes parties du système (H-1) et en cas d’opération de transfert, le volume
déverser peut devenir incontrôlable. Si dans la zone du compresseur, il existe une fuite
et la commande pour la fermeture des vannes automatiques n’est pas déclenchée, la
fuite peut alors causer un mélange gazeux proche des limites d’explosivité (H-2).
143
Table 4-8: Table de contexte cas ou le système n’enclenche pas commande de
Fermeture des vannes
1 2 3 4 5 6
1 tuyauteri
Pas de Pas de fuite Pas de fuite sécurité
Opérationnel No
e
rupture
2 Rupture Pas de fuite Pas de fuite Opérationnel H-1, H-2, H-3, H- 4
2.7 Assigner les contraintes de sécurité aux actions dangereuses avec STPA
Pour chaque action dangereuse du tableau 4-8, on associe une contrainte ou
mesure de sécurité.
144
Table 4-9: Les actions dangereuses et les contraintes de sécurité correspondantes
Action Dangereuse (AD) Contrainte de sécurité (CS)
AD 5 : Cas où la vanne est commandée fermer CS 5 : la vanne ne doit pas être commandée
pas
trop tard suite à une rupture ou une fuite fermer trop tard suite à une rupture ou une fuite
opérationnel
AD 6 : Cas où la vanne est commandée CS 6 : la vanne ne doit pas être commandée
« fermer » sans qu’il n’y est une rupture ou une « fermer » pendant un transfert sans qu’il n’y est
fuite une rupture ou une fuite
10
Par arrêt d’urgence de l’installation
145
Comme nous l’avons précisé dans la section (1.6) deux éléments peuvent
contribuer à transgresser les contraintes de sécurité :
(1) Le système déclenche (par commande) une action dangereuse.
(2) Le système déclenche une action (par commande) mais elle n’est pas
exécutée ou mise en œuvre.
Les causes présentées dans la figure 4-5 sont utilisées pour effectuer cette analyse.
146
L’opérateur pense qu’il n’y a pas de rupture au niveau de la canalisation
L’opérateur pense qu’il n’y a pas de fuite au niveau de la ligne
d’emplissage
L’opérateur pense qu’il n’y a pas de fuite au niveau de la zone du
compresseur
L’opérateur est confus au sujet de la procédure à suivre
L’opérateur est confus en raison d’affichage conflictuel des indicateurs
L’opérateur est réticent au déclenchement de l’arrêt d’urgence de
l’installation.
L’opérateur attend que les barrières de sécurité gèrent la situation
L’opérateur est en manque d’information sur la situation à cause des
affichages erronés
L’opérateur déclenche la fermeture d’une vanne différente.
2.8.2 Les causes relatives aux actions déclenchées (par commande) et non exécutées
Dans cette partie, nous allons analyser les actions déclenchées (par commande)
et non exécutées par l’actionneur. Pour cela, nous allons évaluer les causes liées à
l’application inappropriée des contraintes de sécurité. On se contente d’effectuer
l’analyse pour les contraintes de sécurité suivantes :
CS 1 : Les vannes doivent être commandées « fermer » en cas de fuite (rupture
sur canalisation, fuite sur la ligne d’emplissage, ou fuite sur la zone du
compresseur…) même si le système de support (fusible thermique) est
opérationnel.
CS 2 : Les vannes doivent être commandées « fermer » en cas de fuite même si
le système de support n’est pas opérationnel.
Scénario de base : L’opérateur déclenche (par commande) la fermeture de la vanne
mais la vanne ne se ferme pas.
(1) Systèmes de barrières de sécurité :
a. Panne technique ou défaillance du matériel
b. La commande de l’opérateur n’est pas reçue
c. Défauts de fabrication
147
d. La suite d’instruction (algorithme de contrôle) n’est pas adaptée au
problème
e. Panne ou coupure électrique
(2) Les détecteurs
a. Les détecteurs ne transmettent pas un signal à la centrale de traitement
b. Panne technique ou défaillance des détecteurs
c. Défauts de fabrication
d. Panne ou coupure électrique
(3) Les électrovannes (actionneurs pour vannes)
a. L’alimentation en air n’est pas coupée11
b. Défauts de fabrication
c. Pas de coupure électrique
(4) La vanne
a. La pression de l’air est très faible et empêche le piston de tourner
b. Les débris à l’intérieur empêchent sa fermeture complète ou partielle
c. Défauts de fabrication
d. Panne ou défaillance technique
11
Les actionneurs pour vannes déclenchent par rappel du ressort, la rotation d’un robinet, dirigeant un
boisseau se trouvant dans la vanne. Suivant la position de ce boisseau, la vanne est ouverte ou
fermée.
Les actionneurs pneumatiques sont de type simple effet. Leur position de repos correspond à la
fermeture de la vanne. L’ouverture de la vanne s’effectue avec apport d’air moteur. Cette configuration
est maintenue jusqu’à ce que l’alimentation en air soit coupée. La pression en air n’étant alors plus
suffisante pour comprimer les pistons, ceux-ci se détendent entraînant la rotation de l’axe et la fermeture
de la vanne.
148
partie limitée du système, certaines des informations importantes peuvent être déduites
en examinant les causes des actions de contrôle dangereuses pour les scénarios étudiés.
Un exemple de cette analyse est la difficulté de détecter une rupture sur la canalisation à
partir des indicateurs. Le système automatisé et l’opérateur sont susceptibles de
déclencher une action commandée en temps différé. Dans ce cas, la sécurité de
l’installation dépend des capacités de détection et d’intervention de l’opérateur.
L’opérateur peut ne pas paraître fiable car d’autres facteurs peuvent influencer le
processus de prise de décision de l’opérateur. Les causes concernant le comportement
de l’opérateur sont identifiées dans (l’étape 2) de l’analyse STPA. Les facteurs
identifiés peuvent être utilisés pour améliorer la conception de l’interface
homme/machine.
L’étude ne comporte pas une analyse des risques approfondies pour chaque
composant du système pris individuellement. Les problèmes liés aux manques de
contrôle révélés par cette analyse représentent un point de départ pour une analyse
détaillée qui peut faire appel à des outils de simulation. Cette étude montre qu’une
configuration incorrecte de l’ordonnancement des tâches prioritaires (des systèmes de
contrôle des opérations et de la sécurité) peut causer un danger par exemple si la
fermeture de la vanne est ignorée. L’exploitant doit s’assurer que les actions nécessaires
pour assurer la sécurité de l’installation doivent être prioritaire au sein de chaque
système de contrôle. Pour cela, plusieurs options peuvent se présenter dans l’imposition
des contraintes de sécurité pour que la commande de fermeture de la vanne ne soit pas
ignorée dans un contexte donné.
Le chapitre suivant présente le travail de recours à la simulation pour évaluer le
comportement du système à un niveau hiérarchique inférieur qui concerne l’opération
de transfert effectué au sein du site en mode normal et dégradé. Du modèle a la
simulation
La modélisation (d’un système complexe) consiste à représenter les composants
d’un système et leurs interactions. La simulation est l’implémentation dynamique du
modèle (du travail de modélisation). Dans ce chapitre, on présente avec le logiciel
Anylogic le travail de modélisation et de simulation du comportement et les évolutions
dans le temps au niveau des composants du système d’étude. Pour cela, nous allons
d’abord présenter la démarche adoptée. Nous détaillerons ensuite le logiciel AnyLogic
149
pour enfin exposer le travail de simulation et discuter des résultats.
150
CHAPITRE 5: MODELE DE SIMULATION
Ce chapitre a pour objectif de présenter un cadre d’application de la
modélisation dynamique des systèmes au sein d’un site industriel en tant que support à
la démarche d’évaluation des risques. La mise en œuvre de cette démarche, appuyée par
l’utilisation d’un logiciel, donne au décideur les moyens pour modéliser le système et de
simuler le comportement au cours du temps. Il s’agit donc d’une démarche d’analyse
dynamique des risques industriels qui repose sur des phases complémentaires
permettant une réflexion et une amélioration continue de la gestion des risques.
L’analyse des dangers fondée sur une méthode bien déterminée, telle que la
méthode STAMP, permet d’identifier tous les problèmes de perte de contrôle possibles
et aussi, grâce au modèle dynamique, d’étudier les éventuelles variations du
comportement du système au cours du temps.
151
1 (Cantot, 2006) :
Formuler le problème ;
Préciser les objectifs et organiser le projet ;
Effectuer la modélisation et collecter les données ;
Rédiger le code qui permet de compiler le modèle dans un logiciel de
simulation;
Vérifier le code et les données ;
Valider le modèle et les données ;
Exécuter la simulation ;
Analyser (avec un regard critique) les résultats ;
Rédiger le rapport final ;
Mettre en service l’application et/ou capitaliser le modèle :
152
Figure 5-1 Les étapes de la démarche (Cantot, 2006)
153
les objectifs à atteindre (i.e. questions à résoudre ou fonctionnalités attendues), scénarii,
précision du modèle, critères de validation, exigence de qualité (réutilisabilité,
évolutivité...), contraintes particulières (utilisation de certains outils logiciels comme
Anylogic). Les objectifs servent à évaluer le résultat. Il est important de définir les
modules assez tôt, pour déterminer les conditions dans lesquelles le système simulé va
évoluer.
L’exploitant s’est plus particulièrement intéressé, pour le travail de modélisation et
de simulation, à faire apparaître les modules suivants :
Module qui génère l’arrivée des camions ;
Module pour contrôler la demande d’entrée à l’intérieur du site ;
Module de vérification des compétences du chauffeur ;
Module qui détaille le déroulement du processus d’identification ;
Module qui décrit les processus de chargement et de déchargement au cours du
temps ;
Module qui représente le flux d’échange de GPL entre le camion et le RST ;
Module qui enclenche les alertes sur le site ;
Module qui représente le déroulement des opérations en mode (normal, dégradé
et fortement dégradé) ;
1.1.3 Modélisation
Le travail de modélisation effectué avec STAMP, nous a permis d’analyser le
système en particulier en ce qui concerne ses constituants et leurs caractéristiques.
L’essentiel de la modélisation avec le logiciel Anylogic consiste à déterminer les
variables d’état et les lois d’évolution. Cela suppose en particulier de prendre en compte
les aspects statiques, dynamiques (lois d’évolution...), temporels et aléatoires des
caractéristiques de la simulation.
154
chaque fois dans un fichier de sortie
(« journal ») les valeurs des variables (d’état ou statistiques) que l’on souhaite étudier.
Par la suite, on effectuera des calculs statistiques sur ces variables pour en déduire les
tendances générales : c’est l’opération d’exploitation des résultats de la simulation.
Ces exécutions multiples sont très lourdes en mode interactif (avec l’utilisateur
dans la boucle). C’est pourquoi de nombreuses simulations destinées à des analyses de
Monte Carlo sont conçues pour pouvoir fonctionner dans un mode fermé, sans
utilisateur dans la boucle, appelé « batch ». Toutes les données d’entrée doivent être
déterminées dès le départ, de sorte que plusieurs dizaines de répliques puissent être
effectuées à la chaîne (ou en parallèle) sur un calculateur sans intervention de
l’utilisateur.
155
d’évolution structurelle caractérisent l’analyse de causalité produisant un modèle
qualitatif, exprimé sous la forme d’un graphe sagittal, puis formalisé quantitativement
en modèle de simulation. La dynamique des systèmes est une méthode d’étude qui
suggère que l’on devrait :
Prendre un point de vue endogène, c’est-à-dire modéliser le système comme une
structure causalement close qui définit elle-même son comportement.
Mettre en évidence les boucles de rétroaction (causalité circulaire) dans le
système qui constituent le cœur de la dynamique des systèmes.
Identifier les stocks (accumulations) et les flux qui les affectent. Les stocks sont
la mémoire du système et des sources de déséquilibre.
Prendre une vue continue où les événements et les décisions sont flous.
156
Artificielle Distribuée qui a pour objectif l’étude de la résolution de problèmes par une
communauté d’agents autonomes (Ferber, 1999). Il s’agit de faire coopérer un ensemble
d’agents dotés d’un comportement intelligent et de coordonner leurs buts et leurs plans
d’action pour la résolution d’un problème.
157
temps discret/continue.
Les agents interagissent entre eux pour remplir leurs objectifs, soit de manière
indépendante, en coopération (mise en commun des ressources et compétences), ou bien
de façon antagoniste (situation de compétitions ou de conflits). Les agents logiciels
intelligents peuvent être structurés de deux manières au sein d’un SMA : structure
horizontale (les agents sont au même niveau) et structure verticale (les agents sont à
plusieurs niveaux, et on peut retrouver une structure horizontale à un même niveau).
158
Dans une simulation à événements discrets, on rencontre habituellement les
éléments suivants :
Entités : les objets, les composants par lesquels le système est défini ;
Ressources : éléments du système fournissant un service ;
Éléments de contrôles : permettent de modifier la réponse du système à un
événement, par l’intermédiaire de switches, compteurs, règles logiques ou
arithmétiques... Par exemple, une contrainte horaire (fermeture du site pendant la
pause de midi) ;
Opérations : ce sont les manipulations effectuées par ou sur les entités évoluant
au sein du système ;
Les principes de base des SED reposent sur l’initialisation d’une réplique, la
gestion des entités, la gestion des évènements, et la création des files d’attente.
159
scénario, de leur environnement, des événements qui surviennent, etc. Chacune des
entités est une instance d’un ensemble de variables (variables d’état, variables
statistiques...), généralement regroupées au sein d’une structure dont l’implémentation
typique est une instance de classe. Le moteur de simulation maintien une liste des
entités et de leur état. Cette liste peut être implémentée sous diverses formes (listes
chaînées, tableaux, arbres...). Chaque entité suit un cycle de vie (création, attente,
activité, destruction...), dont la forme est fonction du moteur de simulation utilisé.
160
3. Modélisation multi-paradigmes de la sécurité d’un site industriel
L’approche de simulation à l’aide du logiciel Anylogic suppose que chaque objet
du projet soit considéré comme un agent (excepté l’objet Simulation). Chaque agent est
un objet d’une classe. Dans le logiciel se trouve une interface New Agent avec
assistance permettant de créer les agents : cette interface apparaît lorsque l’on glisse sur
le diagramme un élément agent de la palette.
La figure 5-2 montre les agents crées dans ce projet. Il s’agit des acteurs du
système, par exemple le « Chauffeur », les agents « GrosPorteur », « PetitPorteur ». Les
agents « PosteChargement » et « PosteDéchargement » sont des interfaces secondaires
qui permettent de suivre le déroulement dynamique par le biais de la simulation les
procédures de transfert de GPL.
En termes de modélisation par SED nous avons aussi défini les postes de
transfert dans le modèle comme des ressources.
L’agent « Réservoir », quant à lui, est caractérisé par son paramètre « niveau ».
De plus, il contient les fonctions permettant le déclenchement des alertes de niveau,
ainsi que les fonctions de réinitialisation des événements. Enfin, une couche
supplémentaire a été ajoutée permettant de faire fonctionner le modèle à travers
différents modes de contrôle, afin de mettre en évidence différentes pertes de contrôle
possibles du système.
161
3.1 Agent Chauffeur
Une population de 400 chauffeurs a été recréée. Chaque chauffeur est un agent
décrit par son diagramme état-transitions.
Le but de cet agent est de modéliser les compétences des chauffeurs qui sont
formés aux risques que représentent les Gaz de Pétrole Liquéfiés (GPL), au chargement
en libre-service sous surveillance d’un pompiste, à l’exploitation pomperie et à la
formation Astreinte. Les chauffeurs reçoivent, lors de leur stage de formation et de
recyclage (tous les 3 à 5 ans), une formation de base à la lutte contre l'incendie tel que le
maniement des extincteurs ou l'extinction de feux réels.
162
Le tableau 5-1 explique les éléments présents dans l’interface agent « Chauffeur
» et les instructions de code qui régissent le modèle.
163
164
Les chauffeurs, au nombre de 400, changent donc d’état au cours du temps. À un
moment donné, chaque chauffeur est passé par chaque état. La formation des opérateurs
suit une loi exponentielle de paramètre les taux de transition. La transition se fait entre
les états "chauffeurSansFormation", "chauffeurAudité" et "chauffeurFormé" . Ainsi, au
cours du temps, on peut avoir une idée des proportions des chauffeurs sans formation,
formés ou audités. La figure 5-4 montre un exemple de scénario où moins de 20% des
chauffeurs sont sans formation, environ 40% de chauffeurs sont audités et plus de 40%
de chauffeurs sont formés.
165
Figure 5-4 Simulation de la formation d’une population de chauffeurs camion gros
porteur
166
3.3 La classe Main
La classe « Main » est considérée comme l’interface principale du modèle de
simulation.
Il s’agit de la photographie (figure 5-6) du site, sur lequel est tracé le réseau
nœuds-lignes. Il contient notamment la modélisation SED permettant l’animation 2D.
La classe
« Main » comprend aussi un module d’affichage des informations concernant le niveau
du réservoir, les résultats du processus d’identification des chauffeurs, le nombre
d’erreur de manipulation...
Dans cette partie, nous allons aborder les différents éléments que nous avons
placés dans l’interface principale.
167
Figure 5-6 Image du site introduite dans la classe main
168
3.3.1 Les objets utilisés pour la modélisation en système à événement discret SED dans
l’interface main
Le premier élément de la figure 5-7 est un objet « source ». Cet élément génère
l’arrivée des camions au site de stockage de GPL (figure 5-6). Le deuxième objet
permet de modéliser et de simuler une file d’attente. Une file d’attente est créée lorsque
:
Un GrosPorteur est déjà dans le site ;
Le réservoir est au-delà de 84,5% ;
Un GrosPorteur peut sortir de cet objet de deux manières :
Soit par la sortie normale, si le temps d'attente est plus inférieur à une heure ;
Soit par la sortie "T", si le temps d'attente dépasse une heure ;
169
Figure 5-7 Partie SED du Main distinguant les différentes branches possibles selon le niveau de formation du chauffeur du camion
gros porteur
170
Table 5-2: Les éléments du modèle SED dans la classe main
Bloque les gros porteurs lorsque le réservoir atteint un trop haut niveau
de GPL. Ce hold initialement ne bloque pas le GP que lorsqu’une alerte
de niveau haut est déclenchée. Cet objet débloque le GP lorsque le
réservoir revient à son niveau normal
Bloque les gros porteurs lorsqu'un gros porteur est déjà dans le site. Un
seul gros porteur peut entrer dans le site. (Le prochain GP qui arrive au
site tant que le premier n’est pas sorti
171
Cet objet « saisirPosteDéchargement » s’assure de la disponibilité de la
ressource qui est dans ce cas une ressource «
ressourcePoolDéchargement » « static » (PosteDéchargement)
Le statut du poste déchargement. De base la capacité du poste est 1.
Lorsque le poste est :
Usé
En Réparation
Endommagé
172
text45.setText ("");
//Réinitialise le texte "Manque de temps"
text50.setText ("");
//Réinitialise le texte "Manque de compétence"
text51.setText ("");
//Réinitialise le texte "Manque de ressource"
text52.setText ("");
Les objets « hold » permettent de bloquer les entités. C’est pourquoi ils sont
souvent précédés d’un objet « queue », modélisant une file d’attente. D’ailleurs, si
l’attente dépasse un certain temps, l’entité peut être redirigée dans une autre branche du
SED. Dans la figure 5-8 le 3ième et le 4ième objet qui représentent un « hold » :
Bloque les gros porteurs lorsque le réservoir atteint un trop haut niveau de GPL.
Bloque les gros porteurs lorsqu'un gros porteur est déjà dans le site. Un seul gros
porteur peut entrer au site.
173
L’objet « allerSIdentifier » permet le déplacement du GP de l'entrée du site
nœud <node> vers le nœud destiné à l'identification <node1>.
Service : Un service est constitué de trois sous objets encapsulés (Seize + Delay + Release)
RessourcePool : cet objet possède plusieurs unités. Elles peuvent être de 3 types (Moving, Static,
Portable) :
• Portable : ce type permet aux unités d’être portées par des agents (ne se déplace qu’avec
un agent)
174
Trois pompistes sont présents dans la salle de contrôle : à l’arrivée d’un camion,
l’un se déplace selon la disponibilité définie dans l’objet « ressourcePoolPompiste ».
Avant la sortie de cet objet (On at exit), la fonction « Identification » de
l’interface agent « Pompiste » est sollicité (figure12). Le résultat de cette fonction est
enregistré dans le paramètre « identifiant » dans l’interface agent « Chauffeur ».
Le contrôle s’effectue dans l’interface Agent Pompiste par sollicitation de la
fonction <Identification> voir (section 3.2).
L’hypothèse de départ est qu’un camion-citerne (petit porteur ou gros porteur)
est entré dans le site et s’est arrêté au stop. En termes de simulation, cela signifie qu’une
des deux sources a généré un agent (petit ou gros porteur), et que cet agent a atteint
l’objet Service, appelé « identification ». Ainsi, le pompiste est appelé (une unité de
ressource « pompiste » est saisie), l’identification prend quelques minutes, puis, à la
sortie de l’objet service, la fonction « Identification » du pompiste est appelée (prenant
le chauffeur en argument) et renvoie un chiffre (1, 2, 3 ou 0) (Figure 5-7, 5-8). L’objet
(SelectOutput5) nommé « validationDéchargement » oriente l’agent vers une des bornes
de sorties dépendamment du paramètre identifiant.
175
Figure 5-9 Evénements pouvant se déclencher lorsque le niveau du réservoir varie
176
Figure 5-11 Réservoir et différents événements liés.
Cette interface (figure 5-12) permet d’afficher les actions dangereuses exercées
par les agents et qui peuvent conduire à des incidents et des accidents.
177
Figure 5-13 Perte de contrôle manque de ressource pompiste
178
Figure 5-16 Perte de contrôle : cascade de manque de temps, compétence, et
ressource.
179
Figure 5-17 Interface de l’agent pompiste
180
Les objets « pompiste » issus de la classe « Pompiste » sont considérés comme
des unités de ressources mobiles (ils peuvent se déplacer au travers du réseau lignes-
nœuds). Ils sont au nombre de trois en mode normal (ils sont deux en mode dégradé et il
n’y en a qu’un en mode fortement dégradé). Leur vitesse de déplacement a été calculée
en pixels/heure grâce à une règle de trois (600 pixels correspondent à 112,5 m sur la
photographie, et un homme est supposé marcher à 5 kilomètre/heure). Lorsque les
pompistes sont inoccupés, ils occupent les nœuds 9, 12 et 14 dans le réseau.
181
Figure 5-19 Actionchart de la fonction d'identification des chauffeurs par le
pompiste
182
des deux sources a généré un agent (petit ou gros porteur), et que cet agent a atteint
l’objet service, appelé « identification ». Ainsi, le pompiste est appelé (une unité de
ressource « pompiste » est saisie), l’identification prend quelques minutes, puis, à la
sortie de l’objet service, la fonction « Identification » du pompiste est appelée (prenant
le chauffeur en argument) et renvoie un chiffre (1, 2, 3 ou 0).
183
Figure 5-22 Résultat de l'identification (second cas)
184
Probabilité d’erreur Cette variable définit la probabilité qu'un opérateur fasse une erreur
lors d'une opération de chargement ou de déchargement.
Temps Disponible de Ce paramètre représente le temps disponible pour effectuer le
déchargement transfert.
Il correspond au temps du délai
(déchargement/déchargement1/déchargement2) dans l'interface
principale.
Il est utilisé ici pour déclencher les événements
"manqueDeTempsDéchargement" et "retardDéchargement".
Temps nécessaire Ce paramètre permet de compter le temps nécessaire de toute la
procédure.
A chaque fois qu'une étape est résolue, on ajoute à ce paramètre
le temps qu'elle a pris.
Temps passé au Ce paramètre compte le temps déjà passé dans la procédure de
déchargement déchargement.
Il est utilisé ici pour déclencher les événements
"manqueDeTempsDéchargement" et "retardDéchargement".
Temps moyen d’une Ce paramètre représente le temps moyen d'une étape dans la
opération procédure. Souvent ce temps est multiplié par 2 ou 3 selon la
complexité de l'opération.
Nombre d’erreur Ce paramètre permet de compte le nombre d'erreurs lors de la
procédure.
Il est utilisé, dans le statechart1, pour transité de l'état
"Opérationnel" à "Usé" et de "Usé" à "Endommagé".
Nombre d’utilisation Ce paramètre permet de compter le nombre de fois que le poste a
été utilisé.
Il est utilisé, dans le statechart1, pour transité de l'état
"Opérationnel" à "Usé" et de "Usé" à "Endommagé".
Manque de temps de Signal à l'opérateur qu'il ne lui reste qu'une minute et demie pour
Déchargement finir la procédure
Correction de l’erreur de L’opérateur a fini de corriger l’erreur
déchargement
Retard dans le Signal à l'opérateur qu'il est officiellement en retard.
déchargement
Opération de Cette variable permet d'enregistrer l'opération courante.
déchargement courante Elle est utilisée dans l'événement
"CorrectionDeLErreurDéchargement" pour pouvoir faire repartir la
procédure.
185
Figure 5-24 Résultat de l'identification (quatrième cas)
Delay Etape
« delay » Calage du véhicule
« delay 1 » Vérification du bon positionnement de la vanne 4 voies sur la position
déchargement
« delay 2 » Vérification de l'absence de liquide dans le ballon anti-envahissement
186
« delay 11 » Enclenchement du bouton Arrêt
« delay 12 » Les vannes de pied de bras se ferment
« delay 13 » Fermeture de la vanne de la canalisation liquide de la citerne et du bras
liquide
« delay 14 » Passage de la vanne 4 voies du compresseur sur la position Aspiration
187
Figure 5-25 Diagramme états-transitions procédural du poste de déchargement
Les transferts entre les camions citernes et le réservoir sont modélisés par des
diagrammes en DS.
188
Le lien entre le SED modélisant les étapes et la DS modélisant le transfert est
réalisé grâce à un diagramme états-transitions représentant les grandes phases du
processus. L’état
« inutilisé » transite vers « débutDeDéchargement » lorsque la première étape débute
puis le passage de « débutDeDéchargement » à « Déchargement | Dépotage » fait varier
le paramètre
« débit » créant la dynamique du système. De la même manière, l’événement
« stopperDéchargement » se déclenche lorsque le camion est vide, ce qui fait transiter
l’état
« Dépotage » à « Dégazage ». Finalement, lorsque le délai représentant le déchargement
se termine, un message est envoyé au « statechart » passant à l’état «
FinDeDéchargement » jusqu’à ce que toutes les étapes soient terminées.
189
force de faire des erreurs, l’une d’entre-elles avaient des chances d’user le matériel), ou
bien lorsque le poste de transfert a été utilisé un grand nombre de fois.
Les états « Endommagé » et « EnMaintenance » peuvent s’activer avec les
nouvelles propriétés « Failure » et « Maintenance » de l’objet « RessourcePool ». Enfin,
l’état « EnRéparation » est activé par l’utilisateur grâce à un bouton présent dans le «
Main » côté interface. La transition d’« EnRéparation » à « Opérationnel » prend quatre
heures.
190
Figure 5-29 Phase 1 : début de déchargement. Etapes oubliées ou mal réalisées.
191
Figure 5-31 Propriété de l’événement « StopperChargement » déclenché par
condition (le petit porteur est rempli quand il atteint 3% du volume du réservoir.
4. Conclusion du chapitre
En utilisant les trois paradigmes de modélisation-simulation, nous avons pu construire
un modèle pour le management de la sécurité d’un système. L’outil AnyLogic nous a permis
d’évaluer les procédures de sécurité mises en place sur le site industriel gazier. L’objectif a été
d’abord d’évaluer la procédure d’identification mise en place et qui sert à empêcher l’entrée de
personnes non fichées sur site. L’approche consiste à modéliser le comportement du camion-
citerne, le chauffeur et le pompiste. Un objet du paradigme fonctionnel, la fonction
« identification », relie les déplacements à l’intérieur du site en fonction de la formation des
chauffeurs. Ensuite pour les opérations de transferts, les risques majorants de ce site de relai-
vrac de gaz propane liquide (GPL), ont été modélisés. Les trois approches de modélisation
coopèrent pour rendre compte à la fois des étapes de la procédure, et aussi de la possibilité
d’oubli, voire d’erreur, d’une ou plusieurs étapes. De plus, le niveau du réservoir sous talus,
contenant le GPL, a été relié à des alertes. Celles-ci se déclenchent lorsque le réservoir atteint un
niveau inquiétant (soit trop haut, soit trop bas). Grâce aux objets événements, de type
conditionnel, le système d’événements discrets bloque les camions susceptibles d’augmenter ce
risque. Enfin, une couche supplémentaire couvre les trois points précédents, illustrant le
fonctionnement du système au travers de trois modes. Le mode normal peut être dégradé deux
fois, entrainant des pertes de contrôle du système, ou illustrant le maintien du contrôle dans un
192
environnement dégradé. Les pertes de contrôle sont expliquées au travers de quatre facteurs :
l’information, le temps, la compétence, et la ressource.
193
194
CONCLUSIONS ET PERSPECTIVES
Cette thèse a consisté à concevoir et mettre en œuvre une démarche
méthodologique qui a permis, pas à pas, de coupler le modèle d’accident STAMP à une
plateforme logicielle de simulation, Anylogic. Un cas d’application a été choisi : un site
de stockage/distribution de Gaz Propane Liquide (GPL). Le cas a fait l’objet d’une
importante collecte de données et d’une modélisation fine.
L’effort de modélisation du système a permis de se représenter le système
industriel, et donc de se l’approprier, en insistant sur ses propriétés mises en évidence
au cours de la simulation de son comportement. L’utilisation d’un environnement de
modélisation (STAMP) et d’un outil de simulation (Anylogic) ont été particulièrement
utile pour comprendre la complexité du système en considérant tout à la fois les
dimensions techniques, humaine et organisationnelle. Cela s’est révélé aussi comme un
possible support de communication, et de formation, des opérateurs, des responsables
du site et des services de l’Etat. A ce stade, les travaux de thèse ont permis très
concrètement :
D’évaluer les propriétés critiques intrinsèques du contrôle de la sécurité
du système industriel.
De proposer une architecture de contrôle de sa sécurité.
De développer un cahier des charges des recommandations issues de
l’analyse des risques.
De documenter la logique de conception.
De soumettre les résultats de l’analyse, par le recours aux résultats de
STAMP et aux différentes simulations, aux experts et ingénieurs de la
sécurité du système industriel.
195
en se fondant sur une approche comparée entre les outils traditionnels de l’analyse des
risques, pour la plupart issus de la sureté de fonctionnement, et STAMP.
A moyen terme, il serait particulièrement intéressant d’approfondir le travail
initié sur les Systèmes Multi-Agents à l’aide d’Anylogic afin de mieux caractériser les
dimensions humaines et organisationnelles. Puisqu’un système multi-agents (SMA) est
un système composé d'un ensemble d'agents, situés dans un certain environnement et
interagissant selon certaines relations, cela nous apparait une voie particulièrement
adaptée. Objet de longue date de recherches en intelligence artificielle distribuée, les
systèmes multi-agents forment en effet un type intéressant de modélisation de
« sociétés », et ont, à ce titre, des champs d'application larges allant jusqu'aux sciences
humaines. De fait, il nous parait particulièrement opportun de les convoquer pour
participer à la modélisation et à la simulation des situations à risque.
A long terme, à la suite d’une revue de littérature bien plus étoffée que celle
réalisée dans le cadre de cette thèse et sur une période longue, il serait pertinent de
réfléchir à la création d’une ontologie sur les modèles d’accidents. Les ontologies
peuvent être divisées en trois catégories en fonction du niveau de représentation :
Ontologies de haut niveau (utilisées pour la conceptualisation de concepts
généraux tels que l’évènement)
Ontologies de domaine (en rapport avec un domaine particulier comme la
médecine, la gestion de crise ou dans un secteur industriel donné (pétrole,
nucléaire…)
Ontologies d’application (liées à un thème particulier au sein d’un domaine de
connaissances spécifique ; par exemple, les équipes d’urgentistes d’un hôpital ou
la description d’une pollution par hydrocarbures…)
Un premier état de l’art a été conduit. Quelques auteurs ont produit des
ontologies dans le champ des « catastrophes, accidents, urgences »:(Babitski et al. 2009;
Delir Haghighi et al. 2013; Batres et al. 2014). Ces ontologies sont des ontologies
d’applications et sont clairement axées sur la partie opérationnelle de la gestion
d’accidents et d’urgences ; dans un but d’améliorer l’efficacité des services d’urgences
notamment. Signalons aussi les travaux de (Provitolo, Dubos-Paillard, et Müller 2009)
qui présentent une ontologie de domaine des risques et catastrophes. Dans le secteur
196
industriel, il existe une ontologie de domaine « Intégration de données de cycle de vie
pour les industries de "process", y compris les usines de production de pétrole et de
gaz». Cette ontologie est devenue la norme IS015926. Cette ontologie semble plus être
une ontologie descriptive et il y a débat sur sa structure (Leal 2005). Enfin, il existe des
ontologies de haut niveau sur les évènements, notamment les travaux de (Gangemi et al.
2002; Kaneiwa, Iwazume, et Fukuda 2007; Scherp et al. 2009). Ces ontologies
pourraient être un support pour nous aider à concevoir une ontologie de haut niveau
mais il est plus probable que notre ontologie sera une ontologie de domaine ou
d’application principalement fondé sur le retour d’expérience de grands accidents.
197
198
ANNEXE
Apport de la modélisation STAMP dans l'analyse des risques et la prévention des accidents : le cas des opérations
d’enlèvement sur les FPSOs
Contribution of STAMP model in accident analysis; the case of offloading operations on FPSO
MINES ParisTech, PSL Research University, CRC - Centre de recherche sur les risques et les crises, CS 10207 rue
Claude Daunesse 06904 Sophia Antipolis Cedex, France.
dahlia.oueidat@mines-paristech.fr
Résumé
STAMP est une nouvelle approche inventée par le MIT pour modéliser les accidents. Elle reprend les théories des
systèmes et de la cybernétique développées au milieu, du XXe siècle. La démarche consiste à l’élaboration d’une
analyse des risques sur les actions commandées par les systèmes de contrôle (automatisé, semi-automatisé avec
superviseur humain),. Cette approche se démarque du paradigme utilisé dans les industries pétrolières et gazière
puisqu’elle permet de parcourir l’ensemble de la structure sociotechnique d’un système pour comprendre l’accident. Ce
modèle permet de mieux évaluer la contribution des facteurs technique, humain et organisationnel à l’accident. Dans ce
papier le modèle STAMP est utilisé pour analyser l’accident survenu sur un FPSO du Golfe de guinée.
Summary
In order to understand an accident process in a highly technological system, it is necessary to take into consideration
the complexity of the underlying feedback structure. In highly complex sociotechnical systems, such as those
encountered in the petroleum industry, new types of safety issues and disastrous failure modes cannot be addressed
within the traditional approach of accident analysis. Indeed, accident analysis cannot rely solely on the cause-effect
approach, but must also take into account the safety control structure in addition to the process of enforcement of safety
constraints in the system. It is therefore necessary to seek new approaches that reveal not only the control structure of
the system (i.e. retroaction between system components over time), but also to understand the processes of regulation
and safety that govern its behavior. Recent developments in systems theory and in particular the STAMP model, based
on the control theory developed by the team led by Professor Nancy Leveson of MIT, allow to cover three basic
concepts (safety constraints, hierarchical safety control structure and process models) when dealing with accident
analysis. Collectively, these combined models help reveal the dynamic behavior that triggers the migration of the system
in an accidental process. Indeed, by identifying the safety control structure and the safety constraints that were violated
due to inadequate decisions and control actions, accidents can be understood more accurately. The aim of our research
work is to provide a viable methodology based on system thinking and system theory approach for the analysis of
accidents in the oil and gas industry. In this paper STAMP approach is applied to analyze an accident that occurred to
an oil and gas marine installation.
Introduction
L'industrie pétrolière et gazière offshore utilise des systèmes FPSO (Floating Production Storage and Offloading) depuis
les années 1970. Ces unités sont généralement déployées pour l’exploitation et la production dans les eaux profondes.
Un système de production offshore est constitué d’une infrastructure de production construite sur le plancher océanique
(Subsea Production System), d’un FPSO (Floating Production Storage and Offloading) une plateforme flottante de
production et de stockage et d’une bouée de chargement vers un navire pétrolier. Cette bouée export (la transaction
commerciale est accompagnée d’une transaction douanière puisque la cargaison quitte le pays producteur au moment
de l’enlèvement), sur laquelle le navire enleveur (pétrolier) vient s'amarrer et se connecter pour y recevoir sa cargaison,
est le maillon-clé de l’opération d’enlèvement. Ces installations assurent donc l’ensemble des processus de production
du pétrole ; l’extraction, le traitement, le stockage dans les réservoirs du FPSO et finalement le chargement vers le
tanker. Le système de stockage dans les réservoirs du FPSO est complexe en raison de la grande quantité de volume
attribué et de la démarche à entreprendre pour garantir l’intégrité, la flottabilité et la stabilité de cette unité flottante. Les
mouvements (chargement, déchargement, enlèvement, et transferts internes) doivent être effectués selon des critères
bien définis ; autrement la coque pourrait être endommagée en raison des charges inégalement réparties. Les
opérateurs à bord sont chargés de planifier les opérations et de s’assurer du bon déroulement des activités. Les travaux
de recherche présentés dans ce papier, ont pour objet d’approfondir les axes de réflexion autour des modèles d’analyse
des risques et de prévention des accidents. Plusieurs approches ont été explorées, la méthode STAMP (System
Theoretic Accident Model and Processes) (N. Leveson 2011) a été retenue. L’approche consiste à formaliser les règles,
directives et mesures de sécurité sur chaque système d’une structure hiérarchique d’organisation chargée du contrôle
de la sûreté de fonctionnement et des opérations d’une installation industrielle donnée. Tout système sociotechnique
étant régi par différents organismes et autorités de régulation, le système d’étude comprend plusieurs niveaux
hiérarchiques permettant de contrôler les opérations industrielles de l’installation. Ces niveaux (technique, humain,
199
organisationnel, autorités réglementaires, organismes gouvernementaux) sont à considérer lors d’une analyse des
risques. Cette approche permet ainsi de comprendre comment la structure chargée de contrôler la sécurité du système
s’adapte pour maintenir les opérations et le fonctionnement conformément aux paramètres recommandés (Oueidat et
al. 2015).
Objectifs de l’étude
Ce papier a pour but d’exposer les résultats obtenus dans l’étude de l’accident survenu sur un FPSO du golfe de
Guinée en utilisant une approche systémique d’analyse accidentelle. La conséquence a été le déversement accidentel
d’hydrocarbure en mer depuis une bouée d’enlèvement du FPSO, située à plusieurs dizaines de kilomètre au large des
côtes. L’accident s’est produit durant une opération de transfert commercial, un enlèvement, de pétrole brut vers un
pétrolier. L’objectif de l’étude est de proposer une démarche holistique et systémique permettant d’établir une structure
dynamique et rétroactive de contrôle et de maîtrise de la sécurité des opérations de chargement et d’enlèvement d’un
FPSO. Un rapport d’accident a été rédigé sur les bases d’un modèle conceptuel d’analyse d’accident traditionnel
reposant sur le principe de causalité linéaire et évènementielle. Le déroulement des évènements est clairement décrit et
un litige est remarqué dans le choix de la cause principale (évènement primaire déclencheur de l’accident).
Les données reportées dans ce rapport d’accident sont utilisées afin de démontrer, avec l’aide de STAMP, qu’il existe
d’autres facteurs et causalité systémique impliqués dans le processus de l’accident. Le modèle d’accident CAST
(Causal Analysis based on STAMP) offre un cadre permettant d’étudier l’ensemble du système sociotechnique. Le
processus d’implémentation des mécanismes de contrôle de la sécurité depuis la phase de conception, à la phase de
développement et des opérations est étudié . Un des objectifs du modèle CAST est de fournir à l’exploitant un retour
d’expérience sur l’accident, ainsi qu’un moyen de réingénierie des mécanismes de contrôle du processus et de suivi du
déroulement des opérations en sécurité.
Méthodologie de l’étude
La méthode STAMP privilégie la notion de « contrainte », plutôt que celle d’événement (Hardy et Guarnieri 2012). Les
modèles traditionnels d’accident expliquent habituellement la cause des accidents selon une série d'événements, alors
que l’approche STAMP considère l’accident comme le résultat d’un manque de contraintes (théorie du contrôle)
imposées sur la conception du système et pendant le déploiement opérationnel. Ainsi, le processus qui provoque les
accidents peut être compris comme des lacunes dans les boucles de contrôle entre les composants du système lors de
la conception, du développement, de l’implémentation et des opérations d’exploitation. Ces failles peuvent être classées
et utilisées pendant l’analyse de l'accident ou pendant l’activité de prévention des accidents pour aider à identifier tous
les facteurs impliqués dans l'accident. Pour analyser l’accident sur le FPSO, on procède en analysant les instructions
de sécurité qui ont été violées à chaque niveau de cette structure de contrôle.
Le modèle de causalité systémique CAST fondé sur STAMP (Leveson, 2012) est alors utilisé dans la démarche de
l'analyse de l’accident. La démarche peut servir ainsi de guide aux enquêteurs dans la préparation des questions de
l'enquête. Une analyse STAMP pour les rapports d'accident nécessite des informations cruciales pour bien comprendre
les processus de perte de contrôle. Cette méthode est largement utilisée dans l’analyse des accidents industriels
majeurs (Dong 2012; Kim, Salman, et Kjell 2016; McCarthy 2013; Spiegel et al. 2013; Q. Yang et Tian 2015;
Underwood 2013a). Les principales étapes de l’analyse CAST sont au nombre de neuf :
Etapes Description
Analyser les risques de chaque système, et identifier les directives de sécurité et les instructions imposées
par le système de contrôle de la sécurité pour la prévention des accidents
Documenter la structure de contrôle de la sécurité en place. Les rôles et les responsabilités de chaque
acteur du système dans la structure. La documentation doit inclure les rôles et les responsabilités de
chaque acteur du système, ainsi que les commandes fournies dans le but de contrôler la sécurité de
l’installation.
200
Après avoir dessiné la structure de contrôle hiérarchique de la sécurité, la démarche consiste à parcourir
chaque niveau de la structure et comprendre les failles dans les instructions et les modes d’exécution des
directives de sécurité. Le modèle suppose que les directives de sécurité sont imposées selon une
structure hiérarchique. Une instruction est donc émise par un composant d’un niveau hiérarchique
supérieur et exécutée par un composant de niveau hiérarchique inferieur. Le modèle suppose que soit
cette instruction n’ait jamais été assignée à l’un des composants de la structure, soit la hiérarchie n’a pas
exercé un contrôle adéquat pour s’assurer que les instructions étaient exécutées conformément aux
mesures de sécurité recommandées. Le processus décisionnel et les commandes inadéquatement
exécutées sont alors étudiés. Pour cela, il convient de recueillir les informations dont dispose le décideur
ainsi que toute information qui n'était pas disponible, le contexte et les influences sur le processus
décisionnel.
Identifier les changements dans le système lié à l’affaiblissement de la structure de contrôle de la sécurité
au cours du temps
En général, la description du rôle de chaque composant dans la structure de contrôle doit comporter ce
qui suit :
Contexte
Rôles et responsabilités.
En général, la description du rôle de chaque composant dans la structure de contrôle doit comporter ce
qui suit :
Contexte
Rôles et responsabilités.
Raisons pour lesquelles les actions de contrôle étaient défectueuses et les interactions dysfonctionnelles
Défauts de rétroaction
201
Le terrain d’observation et d’exploration de cette thèse est le système de transfert d’hydrocarbures entre le FPSO et les
navires pétroliers. Ce système comprend deux lignes de transfert flexibles de diamètre 18,5’’ pour le transfert de pétrole
du FPSO vers la bouée d’enlèvement ancrée à 1942 mètres à l’Est du FPSO. La bouée permet le chargement de
navires pétroliers de type VLCC (Very Large Crude Carrier), d’une capacité de 330 000 tonnes, approx. 2 millions de
barils à un débit nominal de 40 000 barils par heure, l’opération d’enlèvement durant environ, 25 heures.
Le système de transfert FPSO/pétrolier comprend comme le montre la figure 1 les éléments suivants :
Le FPSO : est capable de traiter environ 250 000 barils par jour (environ 40 000 m3 / j), avec une capacité de stockage
d’environ2 millions de barils de pétrole.
Le réseau d’enlèvement (chargement du pétrolier) : constitué des flexibles sous-marins vers la bouée, de la bouée et du
flexible flottant de chargement vers le pétrolier : c’est la ligne ou circuit export.
La bouée d’enlèvement. Celle-ci possède une capacité, le Surge Tank, d’un volume de 100m3, calculé pour recevoir la
quantité débitée pendant le temps de fermeture de la vanne SDV (Shut-Down Valve), vanne de garde (TOR) chargée
d’isoler la ligne en cas de problème lors des opérations d’enlèvement.
Dans le cas où la pression monterait à 15 bars sur le réseau, un disque de rupture, organe de sécurité qui isole le
Surge Tank du reste du réseau et possède une résistance mécanique définie, cède et le Surge Tank se remplit alors
pour éviter une pollution accidentelle.
Le PLC, Process Logical Controller est un automate local installé sur la bouée, sa fonction est de fermer la vanne SDV.
La fermeture de la SDV est activée dans les cas suivants : pression haute de 10 bars sur la ligne export, niveau haut
dans le Surge Tank, témoin de rupture du disque enclenché. Le PLC fonctionne de façon autonome c’est-à-dire que les
défauts locaux, notamment sur la bouée,) entrainent la fermeture de la vanne sans passer par le système de contrôle
du FPSO.
La fibre optique. Elle transmet les informations relatives à la bouée au FPSO. Elle permet d’arrêter le chargement du
pétrolier en cas de problème sur la bouée et d’opérer la vanne SDV depuis la salle de contrôle.
Le pétrolier enleveur : une fois amarré et connecté à la bouée, le pétrolier reçoit d’abord le fond des citernes (toutes
celles sélectionnées pour l’enlèvement) du FPSO dans une seule des siennes ; c’est l’étape de « de-bottom-ing » qui
sert en premier lieu à séparer, le cas échéant, l’eau issue notamment des puits de production et de la décantation de
l’huile, mais aussi à vérifier la disposition du circuit et son étanchéité. Cette étape capitale est souvent faite à débit
réduit. Puis le chargement du pétrolier suit son cours à débit nominal jusqu'à la livraison de la quantité demandée où le
débit sera de nouveau réduit dans la dernière phase de chargement (complétion ou topping up) pour éviter tout
débordement.
202
Les phénomènes dangereux en lien avec cet accident sont la rupture de la connexion fibre optique entre la bouée
d’enlèvement/FPSO (les données de la bouée ne sont plus transmises à la salle de contrôle). L’intervention pour
l’installation d’un système de télétransmission radio provisoire reste infructueuse puisque la liaison radio n’assure pas
aussi la transmission des données. Les intervenants effectuent une petite coupure électrique pour installer le système
de télétransmission, cette coupure électrique provoque la fermeture de la SDV. La fermeture de la SDV n’est pas
reportée et passe inaperçue car elle est hors scoop des intervenants télécom. Le jour de l’accident, lors de la
préparation des circuits pour l’opération de chargement du pétrolier, l’opérateur aperçoit que la SDV est fermée, pour
empêcher sa fermeture intempestive, elle est alors forcée ouverte. Cette manœuvre est dangereuse puisqu’elle inhibe
les fonctions de contrôle de la sécurité du PLC et de l’opérateur de la salle de contrôle.
Les contraintes de sécurité (CS) imposées pendant les opérations de chargement sont :
Des mesures doivent être préconisées pour protéger l’infrastructure et l’installation technique
Des mesures doivent être préconisées pour minimiser les pertes humaines et matérielles, si par inadvertance
un incendie/explosion se produit.
De l’Organisation Maritime Internationale (OMI), un organisme des Nations Unies en charge de l’administration de la
mer et de la navigation maritime, qui édicte les conventions. A titre d’exemple, les conventions de première importance
promulguées par l’OMI sont :
La convention internationale de 1974 pour la sauvegarde de la vie humaine en mer, telle que modifiée (SOLAS).
La convention internationale de 1973 pour la prévention de la pollution par les navires, telle que modifiée par les
Protocoles de 1978 et de 1997 (MARPOL).
La convention internationale de 1978 sur les normes de formation des gens de mer, de délivrance des brevets et de
veille, telle que modifiée, y compris les amendements de 1995 et les Amendements de Manille de 2010.
Des gouvernements, qui adoptent les règlements internationaux qui visent à assurer la sécurité maritime. Les
organismes officiels de certification inspectent les installations et délivrent les certificats de conformité aux normes et
aux réglementations internationales.
Concernant les FPSOs, une fois immobiles et reliés au fond, il n’est pas nécessaire qu’ils soient immatriculés auprès
d'un Etat du pavillon et donc qu'ils soient en conformité avec la réglementation maritime internationale. Cependant, lors
de leur voyage de transit vers leur lieu de production, les FPSOs sont généralement enregistrés comme des navires de
commerce effectuant des voyages internationaux et, à ce titre, ils sont immatriculés auprès d’un Etat du pavillon. Une
fois sur place et connecté au sol en permanence, les FPSOs peuvent garder leur pavillon de transit ou, si l’Etat côtier le
203
demande, se faire immatriculer auprès de l’Etat côtier. Dans les deux cas, les FPSOs sont soumis à la réglementation
maritime internationale et aux exigences de l’Etat du pavillon (International Association of Oil and Gas Producers 2006).
Pour les navires pétroliers, l'armateur est responsable d'assurer la conformité à la réglementation maritime
internationale comme requis par l'administration de l'Etat du pavillon.
Pour la conformité avec les exigences de l'Etat du pavillon, il est exigé la délivrance entre autres des éléments suivants
:
Ces certificats sont émis par l'Etat du pavillon ou par les organismes officiels de certification au nom de l'Etat du
pavillon. Les certificats suivants peuvent être aussi demandés à savoir :
Au niveau de l’installation technique représentée dans la figure 3, les processus contrôlés sont les citernes à cargaison
(Cargo Tank) du FPSO, la vanne SDV et la bouée d’enlèvement. Le Loading Master est chargé de préparer la
séquence d’enlèvement, l’opérateur utility (qui est l’interlocuteur du Loading Master depuis la salle de contrôle) est
chargé d’exécuter le plan sous la supervision du Loading Master.
204
Figure 3 Modèle d’une structure de contrôle du processus de chargement d’un
navire tanker
205
Etape 4 : Les faits de l’accident
L’accident tel qu’il est décrit dans le rapport d’enquête explique le déroulement des faits : un déversement important
d’huile en mer s’est produit depuis la bouée de chargement d’un FPSO. L’ensemble du circuit de chargement entre le
FPSO et le pétrolier enleveur est protégé de toute éventuelle surpression par le disque de rupture installé sur la bouée
de chargement du tanker (figure 1). La pression de rupture étalonnée à 15 bars varie généralement entre un minimum
de 14,3 bars et maximum de 15,8 bars. La séquence accidentelle a en fait commencé cinq mois avant. En effet,
l’exploitant opère en mode dégradé car la liaison FPSO-bouée est tombée en panne en raison d’une (coupure de la
fibre optique). Le jour de l’accident, le système de sécurité de la bouée fonctionne en mode local et, dans ce cas, la
fonction automatique de la vanne d’arrêt de sécurité SDV est préservée. En revanche, les étapes d’arrêt de la séquence
d’enlèvement sur le FPSO et la surveillance de la pression sur la bouée ne peuvent plus interagir. Ainsi, une pression
haute sur la bouée provoque la fermeture de la vanne SDV, mais la séquence d’enlèvement ne s’arrête qu’avec une
pression haute au refoulement des pompes (une fois la vanne SDV effectivement fermée).
La situation dégradée n’est identifiée que dix jours plus tard. Une intervention technique est effectuée, qui consiste à
brancher un système de télétransmission provisoire sur la bouée. Une petite coupure électrique provoque la fermeture
de la vanne SDV. Cette fermeture passe inaperçue tant pour l’intervenant que pour la salle de contrôle.
Quelques mois auparavant, alors qu’une opération d’enlèvement est planifiée, l’opérateur constate que le circuit et la
vanne SDV sont fermés. Afin d’empêcher une fermeture intempestive de la vanne SDV, il est alors décidé de la forcer
l’ouverture avec un signal de sortie automate spécifique, c.-à-d. de la maintenir physiquement en position ouverte. Une
demande d’inhibition est lancée et accordée, mais la situation dégradée émise au départ n’est pas actualisée. Quinze
jours plus tard, un nouvel essai de télétransmission entre la bouée et le FPSO est effectué : il se révèle infructueux car
la communication est aléatoire et les données restent figées à l’écran. Le forçage de la vanne SDV en position ouverte
est reconduit.
Le jour de l’accident, le chargement d’un pétrolier enleveur démarre en fin d’après-midi. Dans la soirée, un pic de
pression atteint au moins 14,7 bars au refoulement des pompes sur le FPSO (cette pression est probablement liée à
une manœuvre de vannes sur le pétrolier enleveur qui se trouve en fin de chargement). Suite à cette montée de
pression, le disque de rupture cède, le « Surge Tank » (le réservoir de très petite capacité de réception de l’huile
contenue dans la ligne export en cas de rupture du dit disque,) situé sur la bouée se remplit et déborde. Le PLC,
Process Logical Controller, automate de contrôle de la vanne, dont l’action a été inhibée ne peut pas agir sur la vanne
SDV. Peu après sur le pétrolier enleveur, la baisse de débit de réception est identifiée et l’anomalie est signalée et
consignée. Malheureusement elle n’est pas prise en compte et elle n’est pas transmise au FPSO. Un quart d’heure
environ après la rupture du disque, la baisse du débit de chargement alerte le Loading Master du pétrolier enleveur qui
signale et consigne l’anomalie. Mais il n’alerte pas le Loading Master du FPSO (le Loading Master est la personne en
charge de la préparation, du suivi des opérations d’enlèvement et qui protège les intérêts du client en cas de litiges sur
la qualité/quantité du chargement ; il y a également un Loading Master côté FPSO qui assure les mêmes fonctions).
Dans la salle de contrôle du FPSO on ne remarque rien : les données transmises depuis la bouée sont figées, en
revanche les enregistrements des paramètres de transfert sur le FPSO montrent en premier la baisse du débit
demandé conformément au programme de fin de chargement du tanker, ensuite le pic de pression et enfin le débit qui
revient à sa valeur initiale et la pression qui s’établit à une valeur inférieure. Mais ces signaux ne sont pas identifiés et
l’évènement passe inaperçu. Finalement, au cours de la nuit, une odeur d’hydrocarbures alerte un marin de l’équipage
du pétrolier, le pompage est alors arrêté. Une quantité de pétrole brut a été déversée à la mer, à plus de 80 km de la
côte. Une cellule de crise est activée, et les opérations de dépollution sont entreprises. Elles se termineront près de 3
semaines plus tard.
Etape 5 : Analyse des défaillances de l’installation technique
Pour analyser les causes de l’accident, la démarche consiste à procéder par une collecte de données pour identifier les
risques inhérents à la perte de contrôle. Pour cela, les dysfonctionnements techniques qui ont provoqués l’accident sont
analysés. Il est important d’identifier la contribution des mécanismes de contrôle suivant au processus de l’accident à
savoir : contrôle de l’installation technique, déroulement des opérations pannes physique, dysfonctionnement,
communication et les failles dans les troubles non traités (unhandled disturbances). Il est aussi primordial de
documenter et d’expliquer pourquoi ces mécanismes de contrôle sont inappropriés et inhérents à la perte. Cette
approche permet ainsi de mettre en place un plan de prévention des risques
Contrôle et Feedback inappropriés pour pallier au problème de la rupture de la fibre optique
Les causes de la rupture de la fibre optique ne sont pas analysées dans le rapport d’enquête. Il est important d’étudier
ce phénomène pour empêcher des incidents similaires. Une entreprise externe intervient pour brancher un système de
télétransmission radio provisoire (3 semaines après la rupture de la fibre optique) pour permettre le transfert des
données de la bouée vers la salle de contrôle. Cette intervention ne fixe pas le problème, la transmission des données
n’est pas rétablie. Dix jours plus tard, une deuxième intervention est reconduite par cette entreprise qui ne parvient
aussi pas à résoudre le problème de télécommunication.
Contrôle et Feedback inappropriés à l’ouverture forcée de la SDV
Lors d’une visite de la bouée en préparation d’enlèvement, la vanne SDV est trouvée en position fermée, une analyse
informelle de la situation mène à la décision de forcer en position ouverte la vanne de crainte d’une fermeture
intempestive pendant les enlèvements susceptibles d’entraîner des coups de bélier dans le circuit. Cette intervention
provoque l’inhibition de la commande (d’ouverture, fermeture) de l’automate de sécurité local PLC et des signaux qui
alimentent le PLC (niveau Surge Tank, pression Surge Tank, état du disque de rupture). Les actions commandées
depuis la salle de contrôle pour l’ouverture ou la fermeture de la SDV sont aussi inhibées.
206
fermé la vanne d'isolement de la bouée (SDV) ou les vannes de sécurité du circuit d'expédition du FPSO. L'expédition
et la fuite ont été arrêtées à 21h54 sur demande du pilote à bord du pétrolier, après qu'un membre de l'équipage ait
constaté une forte odeur de brut laissant suspecter une pollution.
Selon CAST, l’approche d’analyse de l’accident est bottom-up, le comportement des opérateurs de première ligne est
d’abord étudié. Il faut remonter ensuite dans la structure de contrôle pour représenter la contribution comme suit (Figure
4) de chaque composant de la migration du système vers l’état accidentel. Dans ce qui suit, on se contente de
présenter l’analyse effectuée sur l’opérateur de la salle de contrôle et l’opérateur de première ligne.
207
L’opérateur du navire ne semble pas notifier au responsable des opérations du FPSO la configuration de la vanne
de circuit du chargement du navire en fin d’opération. Les enregistrements montrent un pic de pression de 14,7
bars sur les pompes export du FPSO. Cette défaillance de contrôle peut être interprétée par le manque de
coordination dans les interventions aux différents niveaux de la structure (fermeture des vannes chez le pétrolier
enleveur conformément à la fin de la procédure de chargement, manque d’échange et de transmission des
paramètres de contrôles).
L’opérateur du navire informe le responsable des opérations du FPSO de la configuration de la vanne, sur le circuit
de chargement, mais l’opérateur de la salle de contrôle du FPSO ne déclenche pas l’arrêt de transfert lorsqu’un pic
de pression de 14,7 bars est mesuré sur les pompes export du FPSO
Aspects de coordination et de communication non appropriées pendant l’enlèvement
L’opération d’enlèvement étant effectuée en mode dégradé, la structure chargée de contrôler de la sécurité du système
doit faire preuve de vigilance. Le Loading Master du pétrolier enleveur déclare l’anomalie de perte de débit, cependant
cette alerte n’est est pas prise en considération par l’équipe du FPSO, qui ne déclenche pas l’arrêt de transfert..
208
Renforcer la perception physique directe des opérateurs (les opérateurs du FPSO n’étaient conscients de
rien, car la perception des paramètres de contrôle ne vient que des données du PLC et avec la rupture de
communication, le système de contrôle était en défaut.) ;
Prévoir un Back up fiable pour la partie communication (pour éviter un fonctionnement en état dégradé sans
contrôle).
Gestion de l’entreprise
Dans le cas du FPSO, il y a la compagnie pétrolière et la compagnie maritime. Chacune doit veiller de son coté à
ce que leurs infrastructures respectives (FPSO et pétrolier enleveur) soit conformes aux règlements, normes et
standards en vigueur dans leurs activités. Et lors de l’opération d’enlèvement, à l’interface entre les deux acteurs, il
convient d’éviter la rupture du processus de contrôle de sécurité (par exemple, coordination en temps réel entre les
opérateurs du FPSO et l’équipage du pétrolier, contrôle de la boucle automate du PLC ou autre).
Pour cela, il est nécessaire d’établir une stratégie de sécurité au sein de l’entreprise qui définit clairement :
Les rôles, les autorités et les responsabilités correspondantes des différents acteurs de la structure de
sécurité ;
Les critères d’évaluation à adopter pour la décision, le design, et la mise en place du contrôle de la sécurité ;
Exiger l’application systématique des contraintes de sécurité.
L’organisation en charge du processus de contrôle de la sécurité doit assurer :
La mise en application de la stratégie ;
De Prévenir la direction des décisions relatives à la sécurité ;
La réalisation des analyses de risque et des audits convenablement documentés ;
La définition des contraintes de sécurités selon les activités et leur évolution ;
La définition d’un standard pour les enquêtes d’accidents qui soit exhaustif ;
L’établissement d’un Système d’Information propre au processus du contrôle de la sécurité ;
L’établissement d’une structure de coordination et de rétroaction de l’information entre les différents acteurs.
Gestion et exploitation de l’installation
Il convient d’établir une stratégie de sécurité propre à l’infrastructure (Physical Plant) en plus de celle de l’entreprise :
Pour conduire des analyses de risques ;
Faire des enquêtes sur les raison et les conditions des incidents ;
Établir des indicateurs de risque ;
Collecter systématiquement des données ;
Valider la formation des intervenants conformément aux stratégies adoptées.
Les critères d’évaluation à adopter pour la décision, le design, et la mise en place du contrôle de la sécurité
visent à :
Exiger l’application systématique des contraintes de sécurité ;
Renforcer la communication et la transparence ;
Faire une validation des mesures de sécurité par le responsable de l’infrastructure ;
Sécuriser la communication entre les différentes composantes de l’infrastructure.
En effet, dans notre cas, le démarrage de l’enlèvement a été effectué en mode dégradé (pas de vérification du
branchement de la liaison radio, aucune réaction aux données figées, absence de communication entre les opérateurs
du pétrolier enleveurs et le FPSO, etc.
Gouvernement et environnement
Il s’agit de ne pas isoler le système de son environnement social ni de négliger les engagements vis-à-vis des
gouvernements et des lois qui régissent le contrôle de sécurité de l’activité.
CONCLUSION
Dans cet article, l’analyse de l'accident en utilisant CAST consiste en une description des actions de contrôle
inadéquates commandées par chacune des composantes de la structure de contrôle de la sécurité. En se basant sur
STAMP, les actions inappropriées sont analysées selon les facteurs accidentogènes (par exemple, des modèles
209
cognitifs défaillants, le manque de coordination entre les contrôleurs, des algorithmes de contrôle inadéquats ou la
mauvaise exécution d’une action commandée par un composant de la structure, ou des feedbacks manquants, etc.).
Cette démarche permet à partir du modèle d’analyse de comportement de l’opérateur (Figure 5) de comprendre le
processus de prise de décision qui mène à l’accident. Une analyse approfondie CAST a cependant des limites dans le
sens où :1) elle nécessite de nombreuses données associées à l'ensemble du système qui peuvent difficilement être
pleinement obtenues à partir des ressources disponibles ; 2) l’exploitant peut rencontrer des difficultés dans l’application
des recommandations qui résultent de l’analyse, en temps opportun. Concernant le cas de cette étude, il reste
sûrement encore des questions non résolues, bien que cet article propose de nouvelles idées qui ouvrent des pistes
pour une meilleure compréhension des accidents industriels en mer.
210
RÉFÉRENCES
Aas, A.L., 2010. Industrial Application of Human Factors Safety Standards. Nor. Univ.
Sci. Technol. NTNU Nor. Dr. Philos. 17.
Abdulkhaleq, A., Wagner, S., 2015a. XSTAMPP: an eXtensible STAMP platform as
tool support for safety engineering.
Abdulkhaleq, A., Wagner, S., 2015b. Integrated Safety Analysis Using Systems-
Theoretic Process Analysis and Software Model Checking, in: Koornneef, F., Gulijk, C.
van (Eds.), Computer Safety, Reliability, and Security, Lecture Notes in Computer
Science. Springer International Publishing, pp. 121–134. doi:10.1007/978-3-319-24255-
2_10
Abdulkhaleq, A., Wagner, S., 2014a. A software safety verification method based on
system-theoretic process analysis, in: Computer Safety, Reliability, and Security.
Springer, pp. 401–412.
Abdulkhaleq, A., Wagner, S., 2014b. Open Tool Support for System-Theoretic Process
Analysis.
Abdulkhaleq, A., Wagner, S., Leveson, N., 2015. A Comprehensive Safety Engineering
Approach for Software-Intensive Systems Based on STPA. Procedia Eng. 128, 2–11.
doi:10.1016/j.proeng.2015.11.498
Abramovici, M., Breuer, M.A., Friedman, A.D., 1990. Digital systems testing and
testable design, New York: Computer science press. ed.
AlKazimi, M.A., 2015. Investigating new accident causation, risk assessment, and
mitigation strategy selection tools in the petroleum industry.
Altabbakh, H., AlKazimi, M.A., Murray, S., Grantham, K., 2014. STAMP – Holistic
system safety approach or just another risk model? J. Loss Prev. Process Ind. 32, 109–
119. doi:10.1016/j.jlp.2014.07.010
ATEA, 1998. The Procurement of Computer-Based Safety-Critical Systems .
Bertalanffy, L. von, 1969. General System Theory, New York: George Brazille. ed.
Besnard, D. et, Baxter, G., 2003. Human compensations for undependable systems.
Bieder, C., 2006. Les facteurs humains dans la gestion des risques: évolution de la
pensée et des outils, Lavoisier. ed.
Bird, F.., Loftus, R.G., 1976. Loss control management. Inst. Press.
Boulding, K.E., 1956. General Systems Theory—The Skeleton of Science. Manag. Sci.
2, 197–208. doi:10.1287/mnsc.2.3.197
Bouloiz, H., Garbolino, E., Tkiouat, M., Guarnieri, F., 2013. A system dynamics model
for behavioral analysis of safety conditions in a chemical storage unit. Saf. Sci. 58, 32–
40. doi:10.1016/j.ssci.2013.02.013
Budde, S.F., 2012. Modeling Blowouts During Drilling Using STAMP and STPA. 101.
Cambien, A., 2008. Une introduction à l’approche systémique: appréhender la
complexité.
Cambon, J., 2007. Vers une nouvelle méthodologie de mesure de la performance des
systèmes de management de la santé-sécurité au travail - document. Ecole Nationale
Supérieure des Mines de Paris.
Cambon, J., Guarnieri, F., Groeneweg, J., 2006. Towards a new tool for measuring
Safety Management Systems performance." Learning from Diversity: Model-Based
Evaluation of Opportunities for Process (Re)-Design and Increasing Company
Resilience. Presses des MINES.
211
Carlson, S.J., 2015. NURail Project ID: NURail2012-MIT-R03 Transportation of
Energy-Related Material.
Carlson, S.J., 2014. Understanding government and railroad strategy for crude oil
transportation in North America (Thesis). Massachusetts Institute of Technology.
Centre National de Ressources Textuelles et Lexicales, concept. CONCEPT : Définition
de CONCEPT [WWW Document]. URL http://www.cnrtl.fr/definition/concept
(accessed 9.1.16).
Chabrol, J.B.T. et L. von B., 1973. Théorie générale des systèmes., Dunod. ed.
Courtois, P.-J., Leveson, N., 1996. Safeware: System Safety and Computers.
Cullen, L.W.D., 1993. The Public Inquiry into the Piper Alpha Disaster. Drill. Contract.
U. S. 49:4.
Desmorat, G., Guarnieri, F., Besnard, D., Desideri, P., Loth, F., 2013. Pouring CREAM
into natural gas: The introduction of Common Performance Conditions into the safety
management of gas networks. Saf. Sci. 54, 1–7. doi:10.1016/j.ssci.2012.10.008
Dobi, S., Gleirscher, M., Spichkova, M., Struss, P., 2013. Model-based Hazard and
Impact Analysis. Tech. Report, TU Munich, Comp. Sci. Dept.
Dong, A., 2012. Application of CAST and STPA to railroad safety in China.
Massachusetts Institute of Technology.
Durand, D., 1979. La systémique, Presses universitaires de France. ed.
Fadier, E., Leplat, J., Terssac, G. de, 1990. Fiabilité humaine: méthodes d’analyse et
domaines d’application.
Fadier, E., Mazeau, M., 1996. L’activité humaine de maintenance dans les systèmes
automatisés : problématique générale. J. Eur. Systèmes Autom. 30, 1467–1486.
Fahlbruch, B., Wilpert, B., 2001. La notion de sécurité systèmique: un nouveau
domaine de recherché pour la psychologie industrielle, L’Harmattan, Collection
Risques Collectifs et Situations de Crise. ed.
Ferry, T.S., 1988. Modern Accident Investigation and Analysis. John Wiley & Sons.
Forrester, J., 1995. The beginning of system dynamics. McKinsey Q. 4–17.
Forrester, J.W., 1968. Industrial Dynamics—After the First Decade. Manag. Sci. 14,
398–415. doi:10.1287/mnsc.14.7.398
Garbolino, E., Chery, J.P., Guarnieri, F., 2010. Modélisation dynamique des systèmes
industriels à risques, Lavoisier. ed, Technique & Documentation SRD - Sciences du
risque et du danger : Série Notes de synthèse et de recherche, Franck GUARNIERI.
Grantham, K., 2013. HANAN MOHAMMAD ALTABBAKH. Missouri University of
Science and Technology.
Groeneweg, J., 2002. Controlling the controllable: preventing business upsets.
Presented at the Global Safety Group.
Groeneweg, J., Van Schaardenburgh-Verhoeve, K.N.R., Corver, S., Lancioni, G.E.,
Knudson, T., Braster, J.F.A., 2007. Accident investigation beyond the boundaries of
organizational control. Presented at the Proceedings of Esrel 2007 Conference.
Guarnieri, F., Cambon, J., Boissieres, I., 2008. De l’erreur humaine à la défaillance
organisationnelle : essai de mise en perspective historique. REE Rev. Lélectricité
Lélectronique.
Guenebeaud, F., 2013. Les représentations sociales des risques majeurs au sein de la
communauté éducative du second degré.
Hanan Altabbakh, Mohammad A.Alkazimi, Susan Murray, Katie Grantham, 2014.
STAMP - Holistic system safety approach or just another risk model?
212
Hardy, K., 2016. Decisions Management during Wildland Fires: Accidents Viewed as a
Spatiotemporal Inadequacy. Am. Sci. Res. J. Eng. Technol. Sci. ASRJETS 23, 63–77.
Hardy, K., 2011a. Contribution à l’étude d’un modèle d’accident systémique, le cas du
modèle STAMP : application et pistes d’amélioration - document.
Hardy, K., 2011b. Contribution à l’étude d’un modèle d’accideny systémique, le cas du
modèle STAMP:application et pistes d’amélioration. MINES ParisTech, Centre de
Recherche sur les Risques et les Crises.
Hardy, K., 2010. Contribution à l’étude d’un modèle d’accident systémique, le cas du
modèle STAMP : application et pistes d’amélioration. École Nationale Supérieure des
Mines de Paris.
Hardy, K., Guarnieri, F., 2013. Hazard Mitigation through a Systemic Model of
Accident to a Socio-Technical System: A Case Study. J. Energy Power Eng. 7, 775.
Hardy, K., Guarnieri, F., 2011a. Modelling and hazard analysis for contaminated
sediments using stamp model, in: 14th International Conference on Process Integration,
Modelling and Optimisation for Energy, Saving and Pollution Reduction. pp. 737–742.
Hardy, K., Guarnieri, F., 2011b. Using a Systemic Model of Accident for Improving
Innovative Technologies: Application and Limitations of the STAMP model to a
Process for Treatment of Contaminated Substances, in: The 15th World Multi-
Conference on Systemics, Cybernetics and Informatics: WMSCI 2011.
Hardy, K., Guarnieri, F., 2011c. Analyzing Contaminated Sediments through a
Systemic Model of Accident, in: 41st ESReDA Seminar - Advances in Reliability-
Based Maintenance Policies. La Rochelle, France.
Heinrich, H.W., 1941. Industrial Accident Prevention. A Scientific Approach, McGraw-
Hill Book Company Inc, New York. ed.
Hoel, F., 2012. Modeling Process Leaks Offshore Using STAMP and STPA.
Hollnagel, E., 2014. Safety-I and safety–II: the past and future of safety management.
Ashgate Publishing, Ltd.
Hollnagel, E., 2006. Safety Management: from protection to resilience. UIC Saf. Platf.
Paris 20-21.
Hollnagel, E., 2004. Barriers and accident prevention. Ashgate.
Hollnagel, E., Woods, D.D., 2005. Joint Cognitive Systems: Foundations of Cognitive
Systems Engineering. CRC Press.
Hollnagel, E., Woods, D.D., Leveson, N., 2007. Resilience Engineering: Concepts and
Precepts. Ashgate Publishing, Ltd.
ISSS, n.d. International Society for the Systems Sciences. Wikipedia Free Encycl.
John L Thorogood, 2015. The Macondo Inflow Test Decision: Implications for Well
Control and Non-technical Skills Training. Presented at the Drilling Conference and
Exhibition, Society of Petroleum Engineers or the International Association of Drilling
Contractors, London.
Johnson, W.G., 1980. MORT Safety Assurance System - Google Scholar, Marcel
Dekker Inc. ed.
Kim, T., Salman, N., Kjell, I.Ø., 2016. A STAMP-based causal analysis of the Korean
Sewol ferry accident. Saf. Sci.
Knight, J.C., 2002. Safety critical systems: challenges and directions, in: Proceedings of
the 24rd International Conference on Software Engineering, 2002. ICSE 2002.
Presented at the Proceedings of the 24rd International Conference on Software
Engineering, 2002. ICSE 2002, pp. 547–550.
213
Krauss, S.S., Rejzek, M., Hilbes, C., 2015. Tool Qualification Considerations for Tools
Supporting STPA. Procedia Eng. 128, 15–24. doi:10.1016/j.proeng.2015.11.500
Laporte, J., 1988. Le rationalisme de Descartes. Presses Universitaires de France.
Larouzée, J., Guarnieri, F., 2015. From theory to practice: itinerary of Reasons’ Swiss
Cheese Model. ESREL 2015. CRC Press.
Larouzée, J., Guarnieri, F., 2014. Huit idées reçues sur le (s) modèle (s) de l’erreur
humaine de James Reason. REE Rev. Electr. Electron. 5, 83–90.
Le Moigne, J.-L., 1990. La modélisation des systèmes complexes., Paris: Bordas. ed.
Dunot.
Lederer, J., 1986. How far have we come? A look back at the leading edge of system
safety eighteen years ago. Hazard Prev. 8.
Leveson, N., 2013a. A Systems Thinking Approach to Leading Indicators in the
Petrochemical Industry.
Leveson, N., 2013b. A Systems Thinking Approach to Leading Indicators in the
Petrochemical Industry [WWW Document]. URL http://esd.mit.edu/WPS/2013/esd-wp-
2013-01.pdf (accessed 6.4.15).
Leveson, N., 2011. Engineering a Safer World: Systems Thinking Applied to Safety.
Leveson, N., 2004. A new accident model for engineering safer systems. Saf. Sci. 42,
237–270.
Leveson, N., 2002. A new approach to system safety engineering. Manuscr. Prep. Draft
Can Be Viewed Httpsunnyday Mit Edubook2 Pdf.
Leveson, N., 2001. Evaluating Accident Models Using Recent Aerospace Accidents,
Part 1: Event-Based Models.
Leveson, N., 1986. Software Safety: Why, What, and How, Computing Surveys. ACM
Comput. Surv. CSUR.
Leveson, N., Dulac, N., 2005. Safety and Risk-Based Design in Complex Systems-of-
Systems, in: 1st Space Exploration Conference: Continuing the Voyage of Discovery.
American Institute of Aeronautics and Astronautics.
Leveson, N.G., 2016. Rasmussen’s legacy: A paradigm change in engineering for
safety. Appl. Ergon. doi:10.1016/j.apergo.2016.01.015
Llory, M., 1996. Accidents industriels: le coût du silence: opérateurs privés de parole et
cadres introuvables., Editions L’Harmattan. ed.
McCarthy, S., 2013. A System Theoretic Safety Analysis of Friendly Fire Prevention in
Ground Based Missile Systems. Citeseer.
Meadows, D.H. (Ed.), 1972. The Limits to growth; a report for the Club of Rome’s
project on the predicament of mankind. Universe Books, New York.
Miles, R.F., 1973. Systems concepts: Lectures on contemporary approaches to systems.
Morin, E., 2015. Introduction à la pensée complexe. Seuil.
Pasman, H.J., 2015. Risk Analysis and Control for Industrial Processes - Gas, Oil and
Chemicals: A System Perspective for Assessing and Avoiding Low-Probability, High-
Consequence Events. Butterworth-Heinemann.
Pelegrín, L., 2012. Integrating Safety into an Engineering Contractor’s System
Engineering process using the guidelines of STAMP (Systems-Theoretic Accident Mod
el and Processes). MIT Press, Cambridge, Mass.
Peretti-Watel, P., 2004. Du recours au paradigme épidémiologique pour l’étude des
conduites à risque. Rev. Fr. Sociol. 45, 103–132.
Perneger, T.V., 2005. The Swiss cheese model of safety incidents: are there holes in the
metaphor? BMC Health Serv. Res. 5, 71. doi:10.1186/1472-6963-5-71
214
Perrin, L., Muñoz-Giraldo, F., Dufaud, O., Laurent, A., 2012. Normative barriers
improvement through the MADS/MOSAR methodology. Saf. Sci. 50, 1502–1512.
doi:10.1016/j.ssci.2012.02.002
Perrow, C., 1984. Normal accidents: Living with high risk systems.
Pidgeon, N.F., 1991. Safety Culture and Risk Management in Organizations. J. Cross-
Cult. Psychol. 22, 129–140. doi:10.1177/0022022191221009
Pitiporn Thammongkol, 2014. The system theoretic accidental analysis of a crude unit
refinery fire incident (Thesis). Massachusetts Institute of Technology.
Qureshi, Z.H., 2007. A review of accident modelling approaches for complex socio-
technical systems, in: Proceedings of the Twelfth Australian Workshop on Safety
Critical Systems and Software and Safety-Related Programmable Systems-Volume 86.
Australian Computer Society, Inc., pp. 47–59.
Rasmussen & Svedung, 2000. Proactive risk management in a dynamic society.
Swedish Rescue Services A, Place of publication not identified.
Rasmussen, J., 1997. Risk management in a dynamic society: a modelling problem. Saf.
Sci. 27, 183–213. doi:10.1016/S0925-7535(97)00052-0
Reason, J., 2016. Managing the Risks of Organizational Accidents. Routledge.
Reason, J., 2013. L’erreur humaine. Presses des MINES.
Reason, J., 1995. A systems approach to organizational error. Ergonomics 38, 1708–
1721. doi:10.1080/00140139508925221
Reason, J., 1990. Human Error. Cambridge University Press.
Reason, J., Hollnagel, E., 2006. Revisiting the «Swiss cheese» model of accidents. J.
Clin. Eng. 27 2006 110-115.
Revet, S., 2009. «Vivre dans un monde plus sûr». Cult. Confl. 33–51.
doi:10.4000/conflits.17693
Roberts, K.H., 2009. Managing the unexpected: six years of HRO-literature reviewed.
Journal of Contingencies and Crisis Management,. J. Contingencies Crisis Manag.
Rodrigo, P., 2011. Le jeu causal dans la Politique d’Aristote : eidétique et typique
[WWW Document]. URL https://halshs.archives-ouvertes.fr/halshs-01194645/
(accessed 9.1.16).
Rolf-Arne Haugen Syvertsen, 2012. Modeling the Deepwater Horizon blowout using
STAMP.
Rosenblueth, A., Wiener, N., Bigelow, J., 1943. Behavior, Purpose and Teleology.
Philos. Sci. 10, 18–24.
Rosnay, J.D., 2014. Le Macroscope. Vers une vision globale. Seuil.
Rosnay, J.D., 1975. “Le macroscope.” Vers une vision globale, Edition du Seuil. ed.
Sagvolden, E.H., 2013. Statistical analysis of failures and failure propagation in railway
track.
Samadi, J., 2012a. Development of a systemic risk management approach for CO2
capture, transport and storage projects. Ecole Nationale Supérieure des Mines de Paris.
Samadi, J., 2012b. Development of a systemic risk management approach for CO2
capture, transport and storage projects (phdthesis). Ecole Nationale Supérieure des
Mines de Paris.
Samadi, J., Garbolino, E., 2011. A new dynamic risk analysis framework for CO2
Capture, Transport and Storage chain,. Presented at the 29th International Conference of
the System Dynamics Society, p. 17 pages-ISBN 978-1-935056-08-9-
http://www.systemdynamics.org/conferences/2011/proceed/.
215
Sanseverino-Godfrin, V., 2010. Le cadre juridique de la gestion des pollutions et des
risques industriels. Technique & Documentation - Lavoisier.
Sefer, E., Gallina, B., Muccini, H., Lundqvist, K., 2015. A model-based safety analysis
approach for high-integrity socio-technical component-based systems.
Shannon, C.E., 2001. A mathematical theory of communication. ACM SIGMOBILE
Mob. Comput. Commun. Rev. 5, 3–55.
Silje Frost Budde, 2012. Modeling Blowouts During Drilling Using STAMP and STPA.
Skelt, S., 2002. Methods for accident analysis (No. ROSS (NTNU) 2000208).
Spiegel, D., Hosse, R.S., Welte, J., Schnieder, E., 2013. Integration of Petri Nets into
STAMP/CAST on the example of Wenzhou 7.23 accident.
Suo, D., Thomas, J., 2014. An STPA tool, in: STAMP 2014 Conference at MIT.
Syvertsen, R.-A.H., 2012a. Modeling the Deepwater Horizon blowout using STAMP.
Syvertsen, R.-A.H., 2012b. Modeling the Deepwater Horizon blowout using STAMP.
Norwegian University of Science and Technology.
Thammongkol, P., 2014. The system theoretic accidental analysis of a crude unit
refinery fire incident (Thesis). Massachusetts Institute of Technology.
Thomas, J., Lemos, F., Leveson, N., 2012. Evaluating the safety of digital
instrumentation and control systems in nuclear power plants. NRC Tech. Researcy
Report2013.
Thomas, J.P., 2013. Extending and automating a systems-theoretic hazard analysis for
requirements generation and analysis. Massachusetts Institute of Technology.
Torgauten, A.O.A., 2013. Classifying and Defining Operational and Organizational
Aspects of Barriers for the Offshore Oil and Gas Industry.
Trist, E.L., 1951. Some Social and Psychological Consequences of the Longxwall
Method of Coal-Getting: An Examination of the Psychological Situation and Defences
of a Work Group in Relation to the Social Structure and Technological Content of the
Work System. Hum. Relat. 4, 3–38. doi:10.1177/001872675100400101
Underwood, P., 2013. Examining the systemic accident analysis research-practice gap.
\copyright Peter Underwood.
Underwood, P., Waterson, P., 2014. Systems thinking, the Swiss Cheese Model and
accident analysis: A comparative systemic analysis of the Grayrigg train derailment
using the ATSB, AcciMap and STAMP models. Accid. Anal. Prev. 68, 75–94.
doi:10.1016/j.aap.2013.07.027
Unnikrishnan, G., Rajab, A., others, 2008. Integrating Systems Approach in Accident
and Incident Investigations, in: SPE International Conference on Health, Safety, and
Environment in Oil and Gas Exploration and Production. Society of Petroleum
Engineers.
Vaughn, D., 1996. The Challenger launch decision, U. Chicago. ed. Chicago.
Villemeur, A., Caseau, P., D’Harcourt, A., 1988. Sûreté de fonctionnement des
systèmes industriels: fiabilité, facteurs humains, informatisation. Eyrolles, 1988, Paris,
France.
Volpe, J.A., 2014. A Transportation Systems Safety Hazard Analysis Tool.
Wiener, N., 1961. Cybernetics : Control and Communication in the Animal and the
Machine, MIT Press. ed.
Wilpert, B., Fahlbruch, B., 1998. Safety related interventions in interorganisational
fields. Saf. Manag. Chall. Change.
Woods, P.D.D., Leveson, P.N., Hollnagel, P.E., 2012. Resilience Engineering: Concepts
and Precepts. Ashgate Publishing, Ltd.
216
Yang, Q., Tian, J., 2015. A Formal Approach to Causal Analysis based on STAMP
(CAST). Presented at the The First International Conferen ce on Reliability Systems
Engineering.
Yang, X., Haugen, S., 2014. A Fresh Look at Barriers from Alternative Perspectives on
Risk.
217
Résumé Abstract
En vue d’éviter ou de diminuer l’importance In this thesis, system thinking concepts and
des dégâts causés par les accidents majeurs, simulation tools are used to model control
il convient de modéliser les fonctions et les actions and operator’s behaviour at a French
relations entre les composants d’un système liquefied petroleum gas (LPG) storage and
industriel. Pour cela, dans cette thèse, on distribution facility. In France, such facilities are
utilise la démarche de modélisation par la classified and the subject of special legislation
méthode STAMP (Systems-Theoretic and safety regulations. Their supervision is the
Accident Model and Processes) pour responsibility of a control and regulatory body.
représenter la structure hiérarchique du A technological risk and prevention plan is
système, ainsi que les mécanismes de provided, where all the dangerous phenomena
contrôle nécessaire pour préserver la sécurité likely to occur in addition to the safety control
d’un processus industriel. Afin de traiter les measures are listed in the safety report. Safety
problématiques liées aux contrôles de la is therefore addressed through rules, and
sécurité industrielle, on propose l’utilisation control mechanisms ensure that the system
de l’outil de simulation Anylogic. Cet outil, complies with safety constraints. Taking this
permet modéliser et de simuler le facility as a case study, we use the STAMP
comportement du système en fonction du (Systems-Theoretic Accident Model and
temps en mode normal et en mode dégradé. Processes) theoretical framework coupled with
AnyLogic simulation tool to model technical
L’objectif de ces travaux est donc de proposer
elements and human and organizational
une démarche basée à la fois sur la
behaviour. We simulate how the system evolves
modélisation et la simulation pour analyser
over time and the strategies that are deployed
les risques et prévenir les accidents d’un site
in a loss of control scenario. The aim is to
de stockage et distribution de GPL (Gaz
assess whether the prescribed safety program
Pétrole liquéfié).
covers all of the system's phases; namely
operations and audits. The results enrich other
research that focuses on the contribution of
Mots Clés system dynamics to risk analysis and accident
prevention.